2018年第一周都还没过完,科技圈就非常不平静,先是苹果的「电池门」事件引发议论,本周也传出半导体大厂Intel近年生产的处理器出现安全瑕疵,影响层面扩及个人电脑、智慧型手机、云端服务,可能导致受保护的核心记忆体(protected kernel memory)资料外洩,开发人员虽然已著手进行软体修复,但却传出更新后有可能导致产品效能降低5%至30%。
处理器重大安全漏洞,私密资料有外洩疑虑
这起安全漏洞消息,是由Alphabet旗下的Google Project Zero团队,以及多国的研究人员共同合作发布的研究报告所揭露,存在Intel处理器的设计瑕疵存在已久,推测近10年搭载 Intel 处理器的 Windows、Mac 与 Linux 电脑可能都受到影响。
报告中提到被命名为「Meltdown」跟「Spectre」的两个漏洞,其中「Meltdown」的漏洞只存在于Intel芯片,可以让骇客接触到电脑记忆体内的私密资料,包括浏览器上的密码、帐号登入资讯、照片、e-mail、个人讯息,甚至是商业文件,发现Meltdown漏洞的研究人员甚至说,这有可能是近来最严重的处理器(CPU)漏洞之一。
另一个取名为「Spectre」的设计缺陷影响较广泛,研究人员指出,几乎1995年以后的电脑系统都会受此漏洞影响,有可能波及所有使用Intel、ARM处理器的智慧手机、平板电脑、桌上型电脑、笔记型电脑以及网路伺服器装置,骇客有可能会利用这些漏洞侵入浏览器上的JavaScript程式或云端共用系统窃取用户电脑资料,虽然这项漏洞较难被骇客利用,但在修复上的困难度相对高。
目前,Intel处理器在个人电脑上的市占率高达8成,不论是Windows、 Linux 甚至是Mac电脑几乎都使用Intel处理器,不过好消息是在这项漏洞被研究人员揭露之前,几乎没有传出有用户因此受害。
Intel早知情,只是抢先被踢爆?
研究人员在报告中指出:「根据现在的分析,不同的电脑装置、配有不同供应商的处理器以及运作系统,也都有受到攻击的可能。」先前还一度传出超微(AMD)生产的处理器也受到漏洞影响,随着整起事件越演越烈,AMD也赶紧发出声明,强调自家处理器由于基础架构设计的不同,因此AMD处理器几乎不可能存在Intel这一系列的安全问题。
Intel执行长科再奇(Brian Krzanich)在本周一个访谈中表示:「我们好几个月以前就收到 Google的通知(安全漏洞消息)。」并表示截至目前没有出现任何骇客攻击的案例,保证很快就会提出补救的措施。
但在风头上的Intel却爆出执行长科再奇,在漏洞消息被揭露前,大卖持有价值数百万美元的Intel股票,根据申报资料,科再奇是在去年10/30售股前一个月才拟定交易计画,但Intel和其他芯片商早在去年六月就已接获安全漏洞警告。
面对质疑,Intel发言人强调,科再奇本次售股与「Meltdown」、「Spectre」漏洞事件无关,并强调Intel发现漏洞问题后,原先计划跟微软、Google要在下周公布解决方案,但没想到却被媒体抢先踢爆,并非刻意隐匿消息。
新系统更新后降速3成
这次的漏洞事件,几乎影响到现代每一个电脑处理器,2005年以后生产的Mac电脑几乎都使用Intel芯片,目前微软Windows和Linux开发人员已经开始著手进行软体修复,针对Windows、Linux、macOS释出补丁。现阶段释出的修复软体主要都是针对「Meltdown」漏洞,开发人员表示因为「Spectre」难度较高,目前仍是无解的状态。
针对本次安全漏洞疑虑,苹果在去年12月释出的macOS 10.13.2已经修复部分问题,预计在下一个版本macOS 10.13.3中,将提供完整的解决方案;微软Windows系统方面,则预计在下周透过Windows Updates自动更新修复。
但释出软体更新的同时,却也出现了跟最近苹果「电池门事件」有点相互辉映的问题,影响的层级是需要透过更新 Linux Kernel 才能解决,包括 Linux 、 Windows 与 64 位元的 Mac都需要进行修复,意思是需要将核心记忆体资料隔离起来才能修复这项漏洞,但这有可能会造成无法避免的效能损失。
对Intel产品产生的降速程度可能是5%至30%,大部分的电脑则是17%至23%,预计会在下周推出更新软体,但这部分没有任何公开文件说明、讯息相对不完整,也不清楚Mac系统的影响程度会是如何,但Intel强调,电脑效能是跟工作负载强度有关,就算效能降低,情况也会随时间而减缓,且一般用户更新后并不会有很明显的效能降低问题,要大家不必过度担心。
补充Intel回应:
Intel透过官方声明回应,自家运算装置不太有可能因为攻击导致资料用户资料损坏、修改或删除。同时强调所有运算装置都会受到类似攻击,并非Intel产品独有缺陷。
本文获得数位时代授权转载
