2018年01月15日 | 英特尔芯片漏洞门泄露 股价暴跌市值蒸发200亿美元

    自美国科技博客The Register于2018年1月2日率先披露由CPU Speculative Execution引发的芯片级安全漏洞Spectre（中文名“幽灵”，有CVE-2017-5753和CVE-2017-5715两个变体）、Meltdown（中文名“熔断”，有CVE-2017-5754一个变体）以来，英特尔、ARM、AMD、苹果、IBM、高通、英伟达等都已承认自家处理器存在被攻击的风险。

　　尽管由CPU底层设计架构引发的此次安全“漏洞门”事件，波及到几乎所有的芯片厂商，但全球芯片业“老大”——英特尔成为最显著的输家。《中国经营报》记者注意到，英特尔的股价已经由1月2日的46.85美元/股下跌至1月11日的42.50美元/股，市值缩水204亿美元。又观英特尔的竞争对手AMD，该公司股价已经从1月2日的10.98美元/股涨至1月11日的11.93美元/股，涨幅接近10%。

　　英特尔等芯片厂商、微软等操作系统厂商、苹果等终端厂商应对此次CPU安全“漏洞门”的措施均指向“打补丁”。英特尔中国相关发言人1月10日在电话和邮件中告诉《中国经营报》记者，“（2017年）12月初我们开始向OEM合作伙伴发布固件更新。我们预计（过去）一周内发布的更新将覆盖过去5年内推出的90%以上的英特尔处理器，其余的将在（2018年）1月底前发布。此后我们将继续发布其他产品的更新。”该发言人强调英特尔“不会进行芯片召回”。

　　“漏洞门”被提前泄露

　　此轮CPU“漏洞门”被誉为“千年虫”之后计算设备发展史上最大的安全漏洞。

　　什么是“千年虫”？也就是计算机2000年问题。因为以前计算机内存比较小，年份都是用两位数表示，比如1980年就是80，到1999年，80年出生就是99-80=19岁，但是在2000年，变成00-80=-80岁了，这就是所谓的“计算机2000年问题”。

　　此次CPU“漏洞门”又是怎么回事？华为一位技术专家告诉《中国经营报》记者，人们向计算机发出的指令分为正常可被执行、异常不被执行两种，按照最初的架构设计，异常不被执行的指令会留在缓存里面，同时被认为不会留下任何痕迹，所以即使这些指令可以看到内存机密信息也没关系，但现在已证实这些指令还是在曾经访问过的内存里面留下蛛丝马迹，并且可以被攻击者利用，从而导致用户敏感信息泄露。

　　谷歌旗下的Project Zero（零项目）团队率先发现了由CPU Speculative Execution引发的这些芯片级漏洞，并将之命名为Spectre（幽灵）和Meltdown（熔断），并通过测试证实了Spectre（幽灵）影响包括英特尔、AMD、ARM等在内的众多厂商的芯片产品，Meltdown（熔断）则主要影响英特尔芯片。

　　“这些漏洞是谷歌公司的Project Zero团队最初在2017年6月向英特尔、AMD、ARM公司通报的。因为这些安全风险涉及各种不同的芯片架构，所以在获得Project Zero团队通报并对问题予以验证之后，英特尔、AMD、ARM等厂商迅速走到一起，并由谷歌牵头签订了保密协议，同时在保密协议的约束下展开合作，从而保证在约定的问题披露期限（2018年1月9日）到达之前找到解决问题的方案。”英特尔中国相关人士告诉《中国经营报》记者。

　　不仅是谷歌的Project Zero团队，在2017年下半年又有数位研究者独立发现了这些安全漏洞。“这些研究者得知这些安全问题已经由Project Zero团队向芯片厂商做出通报，产业界正在合作，加紧开发解决方案之后，也同意在产业界协商同意的披露时间点（2018年1月9日）之前对他们的发现予以保密。”英特尔中国相关人士表示。

　　但随着披露时间点（2018年1月9日）的临近，此次CPU安全“漏洞门”还是在2018年1月2日被提前披露。谷歌随后2018年1月3日也披露了相关情况——Project Zero团队在2017年6月1日向英特尔、AMD、ARM通报了Spectre，2017年7月28日又向英特尔通报了Meltdown。

　　抱团应对

　　尽管与“千年虫”类似，此次CPU安全“漏洞门”的根本原因是底层架构设计造成的，但问题被披露以后，舆论的矛头主要指向了英特尔。

　　一位业内人士在接受《中国经营报》记者采访时认为，一方面是因为Spectre和Meltdown两个漏洞都涉及到了英特尔，另一方面是因为英特尔是全球芯片行业的“老大”，其产品覆盖面、受影响的用户群体无疑是最大的。

　　对于CPU安全“漏洞门”被媒体定义为英特尔芯片安全“漏洞门”，英特尔方面颇感委屈。《中国经营报》记者2018年1月3日收到的《英特尔关于安全研究结果的回应》称，这些安全漏洞“不是英特尔产品所独有”。1月4日，英特尔发布更新声明，表示“英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末（1月14日），英特尔发布的更新预计将覆盖过去5年中推出的90%以上的处理器产品。”

　　根据美国《俄勒冈人报》报道，英特尔CEO柯再奇在1月8日还向员工发送了一份备忘录，表明该公司将建立新的“英特尔产品保证和安全”部门，加强安全工作。柯再奇在1月9日的CES 2018开幕演讲中再次强调，“在本周内，修复更新将覆盖到90%的近5年产品，剩余的10%也会在1月底前修复。”

　　在英特尔之后，AMD、ARM、高通、英伟达、苹果、IBM等厂商也陆续承认了此次“漏洞门”对自家的产品有影响，并表示可以通过系统补丁更新进行解决。

　　比如，ARM在公开声明中表示“许多Cortex系列处理器存在漏洞”；AMD官方声明承认部分处理器存在安全漏洞；IBM表示“谷歌公布的芯片潜在攻击隐患对所有微处理器都有影响，包括IBM Power系列处理器”；高通表示，“针对近期曝光的芯片级安全漏洞影响的产品，公司正在开发更新”；英伟达声称，该公司部分芯片被Spectre影响，可以引发内存泄露。上述公司在承认受到“漏洞门”影响的同时，也都表示正在或者已经开发安全补丁，以提升受影响芯片的安全水平。

　　不仅是芯片厂商，微软、谷歌、苹果等操作系统及终端厂商，也陆续加入为用户“打补丁”的行列。比如，苹果在官方网站承认“所有的Mac系统和iOS设备都受影响，但到目前为止还没有利用该漏洞攻击消费者的实例”；苹果还声称，“将更新Safari以防范攻击，同时也在对两种漏洞进行进一步的研究，将在iOS、macOS以及tvOS更新中发布新的解决方案。”

　　现集体诉讼

　　尽管芯片厂商、操作系统厂商、终端产品厂商都在尝试用“打补丁”的方式解决此次CPU安全“漏洞门”危机，但消费者对产业界的应对方式并不满意。

　　根据美国科技新闻网站Engadget报道，因为CPU安全“漏洞门”事件，英特尔在美国已遭遇三宗诉讼，且全是集体诉讼。Engadget认为，这意味着受到损害的更多消费者可以加入原告队伍进行索赔。目前还未爆发针对AMD等其他厂商的诉讼事件。

　　简单来说，消费者起诉英特尔的原因主要有两个层面，一是时隔半年之后才披露安全隐患，二是“打补丁”会影响自己电脑的性能表现。

　　对于延期披露的问题，英特尔中国相关人士表示，这是在为积极应对争取时间，从得知漏洞存在到如今的6个月，英特尔一直在联合其他厂商加快寻找问题解决之道，“一个由大型科技公司组成的联盟已经展开合作，研究并准备应对方案”。

　　对于影响设备性能的问题，外媒援引一名开发人员的说法称，对CPU内核进行的修补将影响所有的操作系统工作，大部分软件运行将出现“一位数下滑”（即10%以下），典型性能下降幅度为5%，而在联网功能方面，最糟糕的性能下降幅度为30%。也就是说，通过“打补丁”解决安全“漏洞门”，将导致计算设备性能下降5%~30%。

　　但英特尔方面在邮件中坚持认为，“Meltdown和Spectre两个CPU漏洞不会对电脑性能产生太大影响”，该公司“SYSmark测试显示，‘打补丁’之后的CPU性能降幅大约为2%~14%”。

　　事实上，《中国经营报》记者注意到，英特尔和AMD等厂商在过去发生过多起CPU Bug事件，比如1994年发现的奔腾FDIV Bug、1997年发现的奔腾FOOF Bug事件、2008年发现的英特尔ME漏洞等，以及AMD的Phenom（弈龙） TLB Bug、Ryzen（锐龙） Segfault Bug等。其中英特尔奔腾FDIV Bug是一个不折不扣的缺陷，最初英特尔并不重视，只决定为部分被证明受影响的用户更换CPU，后来迫于舆论和市场压力，英特尔召回了所有受影响的CPU，当时损失高达4.75亿美元。后来被发现的多起CPU Bug事件，英特尔和AMD都是通过“打补丁”的方式来解决问题的。

　　针对此次安全“漏洞门”，英特尔会不会召回自家芯片？英特尔中国相关发言人援引柯再奇的公开说法称，Meltdown和Spectre要比1994年的奔腾FDIV容易解决，而且英特尔已经开始在解决这些漏洞，因此英特尔“不会召回受Meltdown和Spectre漏洞影响的芯片产品”。