2018年第一周都還沒過完,科技圈就非常不平靜,先是蘋果的「電池門」事件引發議論,本周也傳出半導體大廠Intel近年生產的處理器出現安全瑕疵,影響層面擴及個人電腦、智慧型手機、雲端服務,可能導致受保護的核心記憶體(protected kernel memory)資料外洩,開發人員雖然已著手進行軟體修復,但卻傳出更新後有可能導致產品效能降低5%至30%。
處理器重大安全漏洞,私密資料有外洩疑慮
這起安全漏洞消息,是由Alphabet旗下的Google Project Zero團隊,以及多國的研究人員共同合作發布的研究報告所揭露,存在Intel處理器的設計瑕疵存在已久,推測近10年搭載 Intel 處理器的 Windows、Mac 與 Linux 電腦可能都受到影響。
報告中提到被命名為「Meltdown」跟「Spectre」的兩個漏洞,其中「Meltdown」的漏洞只存在於Intel晶片,可以讓駭客接觸到電腦記憶體內的私密資料,包括瀏覽器上的密碼、帳號登入資訊、照片、e-mail、個人訊息,甚至是商業文件,發現Meltdown漏洞的研究人員甚至說,這有可能是近來最嚴重的處理器(CPU)漏洞之一。
另一個取名為「Spectre」的設計缺陷影響較廣泛,研究人員指出,幾乎1995年以後的電腦系統都會受此漏洞影響,有可能波及所有使用Intel、ARM處理器的智慧手機、平板電腦、桌上型電腦、筆記型電腦以及網路伺服器裝置,駭客有可能會利用這些漏洞侵入瀏覽器上的JavaScript程式或雲端共用系統竊取用戶電腦資料,雖然這項漏洞較難被駭客利用,但在修復上的困難度相對高。
目前,Intel處理器在個人電腦上的市占率高達8成,不論是Windows、 Linux 甚至是Mac電腦幾乎都使用Intel處理器,不過好消息是在這項漏洞被研究人員揭露之前,幾乎沒有傳出有用戶因此受害。
處理器漏洞風暴延燒,各家晶片大廠紛發聲明
研究人員在報告中指出:「根據現在的分析,不同的電腦裝置、配有不同供應商的處理器以及運作系統,也都有受到攻擊的可能。」先前還一度傳出超微(AMD)生產的處理器也受到漏洞影響,隨著整起事件越演越烈,AMD也趕緊發出聲明,強調自家處理器由於基礎架構設計的不同,因此AMD處理器幾乎不可能存在Intel這一系列的安全問題;安謀(ARM)隨後也透過聲明表示,產品核心通常採用管控嚴格的封閉環境,因此也幾乎沒有遭到攻擊的風險;輝達(Nvidia)也透過聲明表示,圖形處理器(GPU)是公司的核心業務,有信心自家的GPU硬體不受到影響,也正積極更新GPU以降低處理器的安全風險。
Intel執行長科再奇(Brian Krzanich)在本周一個訪談中表示:「我們好幾個月以前就收到 Google的通知(安全漏洞消息)。」並表示截至目前沒有出現任何駭客攻擊的案例,保證很快就會提出補救的措施。
但在風頭上的Intel卻爆出執行長科再奇,在漏洞消息被揭露前,大賣持有價值數百萬美元的Intel股票,根據申報資料,科再奇是在去年10/30售股前一個月才擬定交易計畫,但Intel和其他晶片商早在去年六月就已接獲安全漏洞警告。
面對質疑,Intel發言人強調,科再奇本次售股與「Meltdown」、「Spectre」漏洞事件無關,並強調Intel發現漏洞問題後,原先計劃跟微軟、Google要在下周公布解決方案,但沒想到卻被媒體搶先踢爆,並非刻意隱匿消息。
新系統更新後,效能降3成
這次的漏洞事件,幾乎影響到現代每一個電腦處理器,2005年以後生產的Mac電腦幾乎都使用Intel晶片,目前微軟Windows和Linux開發人員已經開始著手進行軟體修復,針對Windows、Linux、macOS釋出補丁。現階段釋出的修復軟體主要都是針對「Meltdown」漏洞,開發人員表示因為「Spectre」難度較高,目前仍是無解的狀態。
針對本次安全漏洞疑慮,蘋果在去年12月釋出的macOS 10.13.2已經修復部分問題,預計在下一個版本macOS 10.13.3中,將提供完整的解決方案;微軟Windows系統方面,則預計在下周透過Windows Updates自動更新修復。
但釋出軟體更新的同時,卻也出現了跟最近蘋果「電池門事件」有點相互輝映的問題,影響的層級是需要透過更新 Linux Kernel 才能解決,包括 Linux 、 Windows 與 64 位元的 Mac都需要進行修復,意思是需要將核心記憶體資料隔離起來才能修復這項漏洞,但這有可能會造成無法避免的效能損失。
對Intel產品產生的降速程度可能是5%至30%,大部分的電腦則是17%至23%,預計會在下周推出更新軟體,但這部分沒有任何公開文件說明、訊息相對不完整,也不清楚Mac系統的影響程度會是如何,但Intel強調,電腦效能是跟工作負載強度有關,就算效能降低,情況也會隨時間而減緩,且一般用戶更新後並不會有很明顯的效能降低問題,要大家不必過度擔心。
補充Intel回應:
Intel透過官方聲明回應,自家運算裝置不太有可能因為攻擊導致資料用戶資料損壞、修改或刪除。同時強調所有運算裝置都會受到類似攻擊,並非Intel產品獨有缺陷。
| 英特爾處理器安全漏洞事件 | |
|---|---|
| 起因 | Google安全團隊 Project Zero與研究人員共同發布研究報告,揭露Intel處理器存在Meltdown、Spectre兩大安全漏洞。 |
| 影響 | 近10年搭載 Intel 處理器的 Windows、Mac 與 Linux 電腦,都可能有私密資料外洩疑慮。 |
| 後續處理 | 1.蘋果已於去年12月釋出修復部分問題,下一個版本macOS 10.13.3中,將提供完整的解決方案。 2.微軟Windows系統方面,預計下周透過Windows Updates自動更新修復。 |
| 各家晶片廠回應 | 超微(AMD):我們風險接近為零。 安謀(ARM):沒有遭攻擊的風險。 輝達(Nvidia):GPU硬體不受影響,並更新GPU以降低處理器的安全風險。 |
