英特尔“Meltdown”(熔断)和“Spectre”(幽灵)事件始末?
Intel处理器最近暴露了Meltdown和Spectre两个大漏洞,AMD和ARM处理器存在风险。今年年初硬件行业的重大事件是怎样的呢?看了这个就知道了。
去年。谷歌旗下的ProjectZero团队发现了CPU预测执行引起的芯片级脆弱性、Spectre(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和Meltdown(变体3:CVE-2017-5754),这三个脆弱性都是先天性质的框架设计缺陷谷歌的ProjectZero研究员发现1995年以后发表的处理器受到影响。谷歌已经把这个漏洞反馈给Intel,打算下周发表漏洞报告书,但是科技媒体Therrregister在1月2日提前暴露了这个漏洞,通过其他媒体发酵成为现在的状况,之后谷歌也选择提前发表报告书,降低用户的安全风险。
2018年1月3日
英特尔发表了第一份声明,对以前的媒体报道作出了反应,侧面承认了脆弱性的存在,提出了
1
2不仅仅是英特尔,很多类型的计算设备(来自很多不同供应商的处理器和操作系统)都容易受到类似的攻击。
3、英特尔已经开始提供软件和固件更新抗这些破坏。与某些报道中指出的恰恰相反,不同负载受影响程度不同。对于一般的计算机用户来说影响并不显著,而且会随着时间的推移而减轻。
4、可联系操作系统供应商或系统制造商更新。
2018年1月4日
英特尔发布了第一次安全更新,称针对过去 5 年中推出的大多数处理器产品发布了更新。到下周末,英特尔发表的更新预计将复盖过去5年内发表的90%以上的处理器产品。
在发表更新的同时,英特尔拉发表了苹果、微软、亚马逊、谷歌等声明,最近发表的安全更新在实际配置中不会影响性能
2018年1月8日
英特尔CEO科奇在CES上发表演讲,承认部分补丁可能会导致性能下降。并说明将继续与整个产业界一起协作,逐渐把对这些性能下降带来的影响减少到最低。
2018年1月11日
?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????开发者_开发问答???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
2018年1月12日
英特尔正式发布公开信,特别感谢谷歌ProjectZero球队的公开。
2018年1月10日-2018年1月18日
英特尔陆续在官方网站上发表了大量的测试和报告,承认部分更新导致性能下降,但数据证明的影响很小。
2018年1月23日
英特尔要求所有OEM制造商、云服务提供商、系统制造商、软件提供商和最终用户停止更新旧版本,并使用新版本(如果可用)。
2018年1月26日
英特尔宣布将直接推出新一代处理器彻底解决“熔断”和“幽灵”漏洞。
总结:从以上时间线可以看出,英特尔最起有种大事化小,小事化了的感觉,试图将事件影响降至最小,但随着媒体及各方面爆炸式的信息报道和讨论,英特尔开始正面承认问题,并且感谢最初发现问题的谷歌团队,最终也披露了大量的漏洞信息和性能影响测试数据。
作为最终消费者,远景提出的建议是
1使用脆弱性检查工具检查是否有脆弱性,请点击最后的链接下载。
2,及时更新OEM和OS的补丁和更新,但更新前请确保更新没有导致死机、重启等更多问题。
3,不要使用除intel和OEM以及操作系统厂商的第三方修复补丁,避免导致系统不稳定或者带来更大隐患。
英特尔安全中心
微软:ADV180002|用于缓和推理执行侧信道漏洞的指南
附件(点此下载):
1、英特尔白皮书:英特尔对预测执行侧信道的分析
2、AMD白皮书。
3、漏洞检测工具下载。
4网络安全实践指南-CPU熔断和幽灵漏洞防范指南(转:全国信息安全标准化技术委员会)
精彩评论