新華社美國拉斯維加斯１月９日電 新聞分析：英特爾芯片漏洞影響幾何

新華社記者郭爽　林小春　周舟

近期曝出的英特爾芯片存安全漏洞事件因波及范圍廣而備受關(guān)注。那么，此次事件除了影響英特爾公司業(yè)績外，還會造成怎樣的影響？

攻擊門檻較高　打補(bǔ)丁影響性能

英特爾公司首席執(zhí)行官布賴恩·克爾扎尼奇８日在拉斯維加斯消費(fèi)電子展開場主旨演講中對芯片漏洞回應(yīng)說，英特爾及業(yè)界其他廠商迄今均未獲知任何基于這些潛在風(fēng)險的惡意軟件。普通用戶確保自己數(shù)據(jù)安全的“最好方法”就是在系統(tǒng)提供更新補(bǔ)丁時及時安裝。到本周末，英特爾發(fā)布的更新補(bǔ)丁預(yù)計將覆蓋過去５年內(nèi)推出的９０％以上處理器產(chǎn)品，其余產(chǎn)品的補(bǔ)丁將于１月底前發(fā)布。

對芯片漏洞的危害性，英特爾法律政策部副總裁王洪彬接受新華社記者采訪時說：“這是在極端情況下測試出來的。在極端情況下，這些潛在的攻擊被用于惡意目的時，有可能不當(dāng)?shù)厥占舾袛?shù)據(jù)，但不會損壞、修改或刪除數(shù)據(jù)?！?/p>

王洪彬說，惡意軟件要利用相關(guān)漏洞來危害系統(tǒng)安全“必須在本地系統(tǒng)中運(yùn)行”，也就是說，相關(guān)漏洞“攻擊門檻很高、很難被利用”。

不過，網(wǎng)絡(luò)安全專家警告，使用云計算服務(wù)的企業(yè)可能尤其容易受到襲擊。如果攻擊者付費(fèi)后得以進(jìn)入這種服務(wù)的某個領(lǐng)域，他們有可能獲得其他客戶的信息，盡管目前還沒有發(fā)現(xiàn)此類襲擊。

美國國土安全部在一份聲明中說，目前未發(fā)現(xiàn)“利用”這些漏洞的行為。聲明還指出，打安全補(bǔ)丁是解決漏洞最好的保護(hù)辦法，但打補(bǔ)丁后電腦性能可能下降多達(dá)３０％，并且芯片漏洞是由中央處理器（ＣＰＵ）架構(gòu)而非軟件引起，所以打補(bǔ)丁并不能徹底解決芯片漏洞。

美國卡內(nèi)基－梅隆大學(xué)的一個安全研究也小組認(rèn)為，徹底消除這些致命缺陷的唯一辦法是更換硬件，更新操作系統(tǒng)只能“緩解”一些問題。

美國石英財經(jīng)網(wǎng)站等媒體日前也披露，英特爾漏洞的修補(bǔ)過程可能導(dǎo)致全球個人電腦單機(jī)和聯(lián)網(wǎng)性能下降。對此，英特爾公司９日發(fā)表聲明承認(rèn)，給芯片安全漏洞打補(bǔ)丁讓使用其第八代“酷睿”處理器的電腦性能降低約６％。

微軟公司當(dāng)天也發(fā)布了最新性能影響評估結(jié)果，認(rèn)為“幽靈”變種１和“崩潰”兩個漏洞的補(bǔ)丁幾乎不影響性能，但給“幽靈”變種２打補(bǔ)丁確實影響性能，但這些影響都是毫秒級，多數(shù)用戶無法覺察。

不過，對使用２０１５年或之前的Ｈａｓｗｅｌｌ等老處理器架構(gòu)的“視窗８”或“視窗７”電腦，一些基準(zhǔn)測試顯示出“更明顯的減速”，且微軟認(rèn)為“一些用戶將會注意到系統(tǒng)性能的降低”。

隱患不止英特爾　業(yè)界補(bǔ)救緊鑼密鼓

事實上，這一安全問題并非近期才發(fā)生，涉及芯片也遠(yuǎn)不止英特爾。谷歌公司旗下“零點項目”安全研究者團(tuán)隊最早于２０１７年發(fā)現(xiàn)了問題所在。

“零點項目”是２０１４年７月由谷歌啟動的互聯(lián)網(wǎng)安全項目，成員主要由谷歌內(nèi)部頂尖安全工程師組成，專門負(fù)責(zé)找出網(wǎng)絡(luò)系統(tǒng)安全漏洞。２０１７年，該團(tuán)隊發(fā)現(xiàn)了３種由中央處理器底層架構(gòu)采用“推測性執(zhí)行”方法引發(fā)的攻擊方式，將其中兩種命名為“崩潰”，另一種命名為“幽靈”。

“零點項目”說，這些芯片級漏洞可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存，從而讀取敏感信息。當(dāng)這些漏洞被用于惡意目的時，可能會有從計算設(shè)備中收集敏感數(shù)據(jù)的潛在風(fēng)險。

２０１７年６月，“零點項目”向英特爾、美國超威半導(dǎo)體（ＡＭＤ）、英國阿姆控股（ＡＲＭ）等芯片廠商通報了這些漏洞的情況。英特爾和超威芯片廣泛應(yīng)用于個人電腦和服務(wù)器上，而阿姆是安卓系統(tǒng)智能手機(jī)、平板電腦芯片的主要設(shè)計者。

２０１７年下半年，又有美國賓夕法尼亞大學(xué)、馬里蘭大學(xué)、奧地利格拉茨技術(shù)大學(xué)、澳大利亞阿德萊德大學(xué)等機(jī)構(gòu)的其他幾位研究者獨立發(fā)現(xiàn)了上述攻擊方法。對于他們的發(fā)現(xiàn)，這些研究者同意在“零點項目”和產(chǎn)業(yè)界協(xié)商的２０１８年１月９日披露時間點前予以保密。

１月３日，美國科技媒體《紀(jì)事》搶先披露了這一芯片安全問題。隨后，“零點項目”緊急公布了研究結(jié)果，英特爾發(fā)布了產(chǎn)品說明、受影響處理器清單等信息。超威半導(dǎo)體也已通過官方聲明承認(rèn)部分處理器存在安全漏洞。阿姆控股也表示，許多采用該公司Ｃｏｒｔｅｘ架構(gòu)的處理器存在安全漏洞。

據(jù)介紹，這一架構(gòu)技術(shù)被廣泛用于采用安卓和ｉＯＳ操作系統(tǒng)的設(shè)備、部分英偉達(dá)圖睿和高通驍龍芯片以及索尼ＰＳＶ游戲機(jī)等產(chǎn)品上。高通表示正在修復(fù)安全漏洞，但未指明受影響芯片。

目前，谷歌、亞馬遜、微軟等科技巨頭紛紛采取應(yīng)對行動。谷歌表示，該公司許多產(chǎn)品受漏洞威脅的可能性已降低。

對于這一廣泛波及全球行業(yè)和用戶的安全事件，中國國家信息安全漏洞共享平臺４日發(fā)出安全預(yù)警，提示公眾操作系統(tǒng)廠商已發(fā)布補(bǔ)丁更新，建議用戶及時下載補(bǔ)丁進(jìn)行更新，并建議廣大用戶密切跟蹤該安全隱患的最新情況，對芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時跟蹤測試，在做好全面審慎的評估工作基礎(chǔ)上，制定修復(fù)工作計劃，及時安裝。（參與記者張瑩）