《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 繼英特爾、Arm,、AMD之后,,蘋果、高通,、IBM均承認(rèn)其處理器有被攻擊風(fēng)險(xiǎn)

繼英特爾,、Arm、AMD之后,,蘋果,、高通、IBM均承認(rèn)其處理器有被攻擊風(fēng)險(xiǎn)

2022-12-28
來源:21ic
關(guān)鍵詞: 英特爾 ARM AMD 處理器

蘋果確認(rèn)絕大多數(shù)蘋果設(shè)備受影響分支預(yù)測設(shè)計(jì)所導(dǎo)致的處理器安全風(fēng)險(xiǎn)呈燎原之勢,。近日,,蘋果、高通與IBM等公司均發(fā)表聲明,,承認(rèn)其芯片也存在漏洞,,有被熔斷(Meltdown)或幽靈(Spectre)攻擊的風(fēng)險(xiǎn),。蘋果官網(wǎng)稱,熔斷和幽靈攻擊方式適用所有現(xiàn)代處理器(These issues apply to all modern processors),,并影響幾乎所有的計(jì)算設(shè)備和操作系統(tǒng),,所有的Mac系統(tǒng)和iOS設(shè)備都受影響(All Mac systems and iOS devices are affected),但到目前為止,,尚未有利用該漏洞攻擊消費(fèi)者的實(shí)例,。蘋果提醒消費(fèi)者,利用熔斷和幽靈攻擊通常需要一個(gè)惡意應(yīng)用,,因此近期最好只在受信任網(wǎng)站下載應(yīng)用。針對熔斷攻擊,,蘋果發(fā)布的iOS 11.2,、macOS 10.13.2,以及tvOS 11.2已有防范措施,。蘋果將會更新Safari,,以防范幽靈攻擊,蘋果也在對這兩種漏洞進(jìn)行進(jìn)一步研究,,將在iOS,、macOS,以及tvOS更新中發(fā)布新的解決方案,。

蘋果又表示,,蘋果手表(Apple Watch)不會受到這兩種攻擊的影響。TechSugar推測,,這可能與可穿戴設(shè)備所用芯片對性能要求不高有關(guān),,蘋果可能在設(shè)計(jì)Apple Watch芯片時(shí),并未加入分支預(yù)測,,從而對熔斷和幽靈免疫,。

據(jù)彭博社報(bào)道,蘋果稱Meltdown和Spectre缺陷與計(jì)算機(jī)芯片設(shè)計(jì)基本架構(gòu)有關(guān),,要完全屏蔽非常困難和復(fù)雜,,新版攻擊代碼可能會繞過現(xiàn)有補(bǔ)丁軟件,去竊取存儲在芯片內(nèi)核內(nèi)存中的機(jī)密信息,。

據(jù)CNBC報(bào)道,,高通在美國時(shí)間1月5號表示,對受近期曝光的芯片級安全漏洞影響的產(chǎn)品,,公司正在開發(fā)更新,。

“針對受影響的產(chǎn)品,高通正積極開發(fā)部署漏洞修復(fù)的解決方案,,我們會繼續(xù)盡最大努力加強(qiáng)產(chǎn)品安全,,”高通發(fā)言人在一份郵件中稱,,“我們正在部署這些解決方案,鼓勵(lì)消費(fèi)者在補(bǔ)丁發(fā)布后更新他們的設(shè)備,?!?/p>

但高通發(fā)言人并未指明哪些產(chǎn)品受到影響。

無論是蘋果自己研發(fā)的用于iOS設(shè)備的處理器芯片,,還是高通的移動處理器芯片,,其架構(gòu)均源于Arm,因此受到影響毫不意外,。

據(jù)Venturebeat報(bào)道,,Arm公司在1月4日承認(rèn),其一系列Cortex架構(gòu)處理器均有被攻擊風(fēng)險(xiǎn),。Arm通過一張表格指出,,Cortex-A8、A9,、A15,、A17、A57,、A72,、A73,以及Cortex-A75均受到熔斷和幽靈威脅,,甚至可能有更多的安全風(fēng)險(xiǎn)(these chips are all susceptible to two or more exploits),。

Arm提供的受影響架構(gòu)信息

這意味著,從iOS設(shè)備到索尼的PlayStation Vita,,從Nvidia的Tegra系列芯片,,到高通的驍龍系列芯片,都有被熔斷和幽靈這兩種方式攻擊的風(fēng)險(xiǎn),。事實(shí)上,,Nvidia也已經(jīng)承認(rèn)其Arm架構(gòu)產(chǎn)品有安全風(fēng)險(xiǎn)。

IBM官網(wǎng)也在1月4日發(fā)布說明,,確認(rèn)谷歌零項(xiàng)目組(Google Project Zero)將POWER系列處理器列入受影響名單是正確的,。IBM表示,為防范風(fēng)險(xiǎn),,Power系統(tǒng)客戶需要更新固件補(bǔ)丁和操作系統(tǒng)補(bǔ)丁,,為POWER 7+、POWER8,,以及POWER9處理器開發(fā)的固件補(bǔ)丁將于1月9號上線,,POWER7+之前的處理器是否需要打補(bǔ)丁還在研究當(dāng)中。

IBM為Linux操作系統(tǒng)提供的補(bǔ)丁也將于1月9日上線,,而AIX和i操作系統(tǒng)補(bǔ)丁將在2月12日上線,。

這意味著從X86到Arm,,再到Power架構(gòu),先進(jìn)處理器無一幸免,。

當(dāng)前,,各廠商都在加緊處理安全風(fēng)險(xiǎn)。

美國時(shí)間1月4日,,英特爾連續(xù)發(fā)布兩則新聞稿,。在其一,英特爾稱:

英特爾已經(jīng)為基于英特爾芯片的各種計(jì)算機(jī)系統(tǒng)(包括個(gè)人電腦和服務(wù)器)開發(fā)了更新,,并且正在快速發(fā)布這些更新,,以保護(hù)這些系統(tǒng)免受谷歌Project Zero所報(bào)告的兩種潛在攻擊隱患(被稱為Spectre和Meltdown,即“幽靈”和“熔斷”),。英特爾與其產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已取得重要進(jìn)展,。

英特爾已經(jīng)針對過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新。到下周末,,英特爾發(fā)布的更新預(yù)計(jì)將覆蓋過去5年內(nèi)推出的90%以上的處理器產(chǎn)品。此外,,許多操作系統(tǒng)供應(yīng)商,、公共云服務(wù)提供商、設(shè)備制造商和其他廠商也表示,,他們正在或已對其產(chǎn)品和服務(wù)提供更新,。

英特爾相信,這些更新對不同工作負(fù)載的性能影響會有不同,。對于一般的計(jì)算機(jī)用戶來說,,影響并不顯著,而且會隨著時(shí)間的推移而減輕,。雖然對于某些特定的工作負(fù)載,,軟件更新對性能的影響可能一開始相對較高,但隨著采取進(jìn)一步后續(xù)的優(yōu)化工作,,包括更新部署后的識別,、測試和軟件更新改進(jìn),應(yīng)該可以減輕這種影響,。

在第二則新聞稿中,,蘋果、微軟,、亞馬遜和谷歌紛紛為英特爾站臺,,表示當(dāng)前解決方案對性能影響不大。


當(dāng)前英特爾給出的問題描述

在該漏洞被曝光以后,,部分媒體解讀為漏洞只存在英特爾處理器中,,因此AMD股票大漲,。

AMD稱接近零風(fēng)險(xiǎn)

AMD在給CNBC的聲明中稱,“對于分支預(yù)測的三種攻擊方法只部分影響AMD,,由于和英特爾架構(gòu)不同,,在此時(shí),我們相信AMD處理器接近零風(fēng)險(xiǎn)(near-zero risk),?!?/p>

但谷歌零項(xiàng)目組(Google Project Zero)博客顯示,AMD和Arm處理器在前兩種攻擊方式中難以幸免,。據(jù)行業(yè)內(nèi)人士透露,,在AMD給所有廠商最新推送的更新中,提供了關(guān)閉分支預(yù)測器的手段,,AMD這樣做,,顯然不認(rèn)為自己的處理器是零風(fēng)險(xiǎn)。

有計(jì)算機(jī)體系結(jié)構(gòu)專家認(rèn)為,,熔斷風(fēng)險(xiǎn)已經(jīng)被暴露出來,,能直接偷瀏覽器密碼,全世界都看到了演示,,幽靈的風(fēng)險(xiǎn)也很大,,只不過還沒有實(shí)例釋放出來。

熔斷攻擊示例

《大話存儲》作者張冬強(qiáng)調(diào),,操作系統(tǒng)內(nèi)核的一個(gè)基本底線是用戶態(tài)代碼不能直接看到內(nèi)核態(tài)代碼,,但處理器廠商為了性能,突破了這個(gè)底線,,因此將系統(tǒng)暴露在風(fēng)險(xiǎn)之中,。“這是為何一瞬間各大云提供商如坐針氈的原因,,有些PC用戶已經(jīng)接到了微軟推送的補(bǔ)丁并已經(jīng)安裝,,經(jīng)過測試的確性能有了下降?!?/p>

專業(yè)人士指出,,英特爾1995年量產(chǎn)的Pentium Pro處理器已引入分支預(yù)測技術(shù),距今超過二十年,。據(jù)此推算,,存在幽靈攻擊漏洞的設(shè)備在幾十億臺級別,雖然英特爾及其合作伙伴稱解決方案性能損失不大,,但據(jù)國外網(wǎng)站貼出的測試結(jié)果看,,部分應(yīng)用受影響幅度頗大,更新后性能下降30%至50%左右。

據(jù)了解,,此次風(fēng)險(xiǎn)的源頭最早可追溯到1960年代IBM引入的亂序執(zhí)行(Out Of Order Execution)技術(shù),,亂序執(zhí)行的加強(qiáng)版就是分支預(yù)測。X86架構(gòu)引入亂序執(zhí)行大約始于486處理器,,而引入分支預(yù)測就是在1995年的Pentium Pro,。

亂序執(zhí)行與分支預(yù)測已經(jīng)成為高性能處理器標(biāo)配,此次漏洞所涉及的處理器量產(chǎn)幾十年,,架構(gòu)遍及X86,、Arm和Power,MIPS等小眾架構(gòu)雖然不受關(guān)注,,但估計(jì)也難以避免分支預(yù)測導(dǎo)致的漏洞,。

目前,國產(chǎn)處理器廠商針對該問題還較少表態(tài),,但TechSugar相信,,國產(chǎn)X86、Arm及Power架構(gòu)處理器產(chǎn)品同樣面臨風(fēng)險(xiǎn),。危機(jī)面前,,國產(chǎn)芯片廠商還是要敢于發(fā)聲,敢于參與此次安全大事件處理,,才能夠在全球信息產(chǎn)業(yè)版圖中占據(jù)一席之地,。總是沉默,,終究只能處在邊緣地帶,,談何自主可控,?

危機(jī)之時(shí),,如何處理最能體現(xiàn)一個(gè)公司的資質(zhì)。恰如1994年英特爾爆出浮點(diǎn)除法問題時(shí),,安迪格魯夫?qū)ν饨绫硎荆骸安罟練в谖C(jī),,好公司存于危機(jī),偉大的公司成長于危機(jī),!”

以致有人甚至開玩笑稱,,這次分支預(yù)測漏洞危機(jī)致使主機(jī)性能下降,數(shù)據(jù)中心能耗將劇增,,英特爾新處理器將供不應(yīng)求,,國家電網(wǎng)和英特爾或成最大贏家。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。