各厂商应对“幽灵(Spectre)”与“熔断(Meltdown)”的行动还在持续。
华硕、技嘉和微星都发布了固件更新。华硕发言人称,因为英特尔更新了处理器微码,所以华硕也正在努力为支持第六、七、八代酷睿处理器及酷睿 X 系列处理器的主板准备安全更新,华硕已经放出超百款主板 BIOS 更新,该公司建议用户尽快下载最新安全更新。
技嘉和微星也做出类似回应,这两家公司均有多个系列主板受到影响。
据报道,虽然 Oracle 对熔断风险依然保持沉默,但在其最新补丁中,悄悄对 X86 系统进行了更新。
IBM 已经针对 Power 7 和 Power 8 系列共 33 款处理器进行了固件更新。
据中国电子报《魏少军释疑“CPU 漏洞门”,大多数人都太乐观了!》报道,清华大学微电子研究所所长魏少军教授表示,“幽灵”与“熔断”风险波及范围广、影响程度深、解决难度大,应该引起行业内高度重视。
从目前的情况来看,虽然没有证据表明这两个漏洞是处理器厂商有意为之,或者是他们在设计之初就已知晓此事,但由于利用这两个漏洞的门槛不高,也很难断言在这两个漏洞大规模公开前没有被恶意利用过,也就无从知晓已经造成了多大的损失。
对于国内厂商在面对目前处理器安全风险普遍沉默的状况,魏少军指出:
目前还不是很清楚我国 CPU 企业是否也受到这两个漏洞的波及,因为到目前为止,还没有国内企业承认自己的产品存在类似的漏洞。这有可能是根本就不清楚自己是否被波及到,也有可能是知道了不说,但更可能是在产品设计中还没有采用乱序执行和分支预测等技术。
这可以让我们从侧面探窥国产 CPU 产品性能之所以远远落后国际同行的原因。当然,我们非常希望看到,国内企业采用了乱序执行和分支预测等技术但又规避了前述漏洞。
魏少军强调,国产厂商要主动参与,抓住机会,转危为机:
本次“熔断”和“幽灵”暴露出的硬件漏洞,短期内可以通过软件补丁在一段时间内缓解,但长远看还是要通过更换硬件才能够解决。显然,我们需要回答几个问题,第一,软件补丁到底会对 CPU 的性能带来多大的影响?第二,如何防止骇客再利用这些漏洞,毕竟这些漏洞现在成为了公开的秘密,也就是“潘多拉的盒子”已经打开,只靠软件是否能够彻底防护住?第三,新的 CPU 产品如何能够彻底避免此类架构和运行机制上的漏洞?
魏少军认为在这三个问题上,国内厂商与国外企业处在同一起跑线上,如果抓住机遇,有可能实现国产 CPU 的一次大幅度进步。
在《处理器“漏洞门”的警示:“小众”的国产处理器切不可高枕无忧》中,集微网也表示,曾尝试与君正、龙芯等几家国内主要处理器厂商联系,然而国内厂商不约而同保持沉默。
不过集微网还是发现了一些信息。
9 号投资者在互动平台上向北京君正提问:君正芯的每一行代码都是自己写的,是中国真正的自主芯片,无安全之忧,该说法是否属实?君正回应,公司芯片是架构授权,自主研发的 CPU 核,确实属于自主可控。
同一天投资者也问了中科曙光,后者表示,曙光云目前尚未收到任何关于利用该漏洞攻击用户的信息,曙光云本着对客户高度负责的态度,第一时间成立应急小组,持续监控平台性能并积极响应客户反馈。
龙芯、中天微则以不方便回答拒绝了采访。
记者也尝试与国内处理器厂商联系,但基本没有得到有效反馈。
在之前文章中,TechSugar 表示:
目前,国产处理器厂商针对该问题还较少表态,但 TechSugar 相信,国产 X86、Arm 及 Power 架构处理器产品同样面临风险。危机面前,国产芯片厂商还是要敢于发声,敢于参与此次安全大事件处理,才能够在全球信息产业版图中占据一席之地。总是沉默,终究只能处在边缘地带,谈何自主可控?
目前的解决方案,多少都会造成系统性能下降,而且由于涉及范围过大,补丁引发的副作用也不断被爆出。详见 TechSugar 上一篇相关推送文章。
据不完全统计,受幽灵影响的英特尔、苹果、AMD 与 IBM 处理器共有一千八百款以上,受熔断影响的英特尔与苹果处理器共有一千五百余款。
Arm 公布目前受这两种攻击方式影响的内核共十款,除了苹果,高通、Nvidia、海思、联发科、赛灵思等知名 IC 设计公司无一幸免,这些公司均有用受影响内核设计的处理器,粗略估算至少涉及上百款处理器,应用范围不仅局限与手机与平板电脑等消费与通信市场,包括汽车、工业应用处理器在内,都存在被攻击风险。当然,恩智浦 i.MX 系列与瑞萨 R-Car 系列车载处理器,多数可能不会联网,所以风险不大。
以下为受影响处理器统计表:
英特尔、苹果、AMD 与 IBM 受影响处理器统计
数据来源:TECHARP、IBM 网站
Arm 受影响内核统计
具体受影响处理器系列型号(持续更新中)
阅读全文