泛科技

Intel 处理器被揭发存在重大安全漏洞 Windows、Mac 、Linux 电脑全中招

2018年第一周都还没过完,科技圈就非常不平静,先是苹果的“电池门”事件引发议论,本周也传出半导体大厂 Intel近年生产的处理器出现安全瑕疵,影响层面扩及个人电脑、智能手机、云端服务,可能导致受保护的核心记忆体(protected kernel memory)资料外洩,开发人员虽然已着手进行软体修复,但却传出更新后有可能导致产品效能降低5% 至30%。

Intel处理器被揭发存在重大安全漏洞Windows、Mac、Linux电脑全中招

处理器重大安全漏洞,私密资料有外洩疑虑

这宗安全漏洞消息,是由 Alphabet 旗下的 Google Project Zero 团队,以及多国的研究人员共同合作发布的研究报告所揭露,存在 Intel 处理器的设计瑕疵存在已久,推测近10年搭载 Intel 处理器的 Windows、Mac 与 Linux 电脑可能都受到影响。

报告中提到被命名为“Meltdown”跟“Spectre”的两个漏洞,其中“Meltdown”的漏洞只存在於 Intel 晶片,可以让骇客接触到电脑记忆体内的私密资料,包括瀏览器上的密码、帐号登入资讯、照片、e-mail、个人消息,甚至是商业文件,发现 Meltdown 漏洞的研究人员甚至说,这有可能是近来最严重的处理器(CPU)漏洞之一。

Intel处理器被揭发存在重大安全漏洞Windows、Mac、Linux电脑全中招

报告中提到被命名为“Meltdown”跟“Spectre”的两个漏洞。图片来源:Meltdown Attack

处理器漏洞风暴延烧,各家晶片大厂纷发声明

研究人员在报告中指出:“根据现在的分析,不同的电脑装置、配有不同供应商的处理器以及运作系统,也都有受到攻击的可能。”先前还一度传出超微(AMD)生产的处理器也受到漏洞影响,随着整起事件越演越烈,AMD也赶紧发出声明,强调自家处理器由於基础架构设计的不同,因此AMD处理器几乎不可能存在Intel这一系列的安全问题;ARM随后也透过声明表示,产品核心通常採用管控严格的封闭环境,因此也几乎没有遭到攻击的风险;Nvidia也透过声明表示,图形处理器(GPU)是公司的核心业务,有信心自家的GPU硬体不受到影响,也正积极更新GPU以降低处理器的安全风险。

Intel 执行长科再奇(Brian Krzanich)在本周一个访谈中表示:“我们好几个月以前就收到 Google 的通知(安全漏洞消息)。”并表示截至目前没有出现任何骇客攻击的案例,保证很快就会提出补救的措施。

Intel处理器被揭发存在重大安全漏洞Windows、Mac、Linux电脑全中招

Intel执行长科再奇(Brian Krzanich)被爆出在漏洞消息被揭露前,大卖持有价值数百万美元的Intel股票。图片来源:Twiter

但在风头上的 Intel 却爆出执行长科再奇,在漏洞消息被揭露前,大卖持有价值数百万美元的 Intel 股票,根据申报资料,科再奇是在去年10/30售股前一个月才拟定交易计画,但 Intel 和其他晶片商早在去年六月就已接获安全漏洞警告。

面对质疑,Intel 发言人强调,科再奇本次售股与“Meltdown”、“Spectre”漏洞事件无关,并强调 Intel 发现漏洞问题后,原先计划跟微软、Google 要在下周公布解决方案,但没想到却被媒体抢先踢爆,并非刻意隐匿消息。

新系统更新后,效能降3成

这次的漏洞事件,几乎影响到现代每一个电脑处理器,2005年以后生产的 Mac 电脑几乎都使用 Intel 晶片,目前微软 Windows 和 Linux 开发人员已经开始着手进行软体修复,针对 Windows、Linux、macOS 释出补丁。现阶段释出的修复软体主要都是针对“Meltdown”漏洞,开发人员表示因为“Spectre”难度较高,目前仍是无解的状态。

针对本次安全漏洞疑虑,苹果在去年12月释出的 macOS10.13.2已经修复部分问题,预计在下一个版本 macOS10.13.3中,将提供完整的解决方案;微软 Windows 系统方面,则预计在下周透过 Windows Updates 自动更新修复。

Intel处理器被揭发存在重大安全漏洞Windows、Mac、Linux电脑全中招

释出软体更新却也传出Intel产品效能可能因此降低的问题。图片来源:shutterstock

但释出软体更新的同时,却也出现了跟最近苹果“电池门事件”有点相互辉映的问题,影响的层级是需要透过更新 Linux Kernel 才能解决,包括 Linux 、 Windows 与64位元的 Mac 都需要进行修复,意思是需要将核心记忆体资料隔离起来才能修复这项漏洞,但这有可能会造成无法避免的效能损失。

对 Intel 产品产生的降速程度可能是5% 至30%,大部分的电脑则是17% 至23%,预计会在下周推出更新软体,但这部分没有任何公开文件说明、消息相对不完整,也不清楚 Mac 系统的影响程度会是如何,但 Intel 强调,电脑效能是跟工作负载强度有关,就算效能降低,情况也会随时间而减缓,且一般用户更新后并不会有很明显的效能降低问题,要大家不必过度担心。

补充 Intel 回应:

Intel 透过官方声明回应,自家运算装置不太有可能因为攻击导致资料用户资料损坏、修改或删除。同时强调所有运算装置都会受到类似攻击,并非 Intel 产品独有缺陷。

(按:Windows、macOS 及 Linux 已发布更新修补 Meltdown 漏洞)