新華社美國拉斯維加斯１月９日電 新聞分析：英特爾芯片漏洞影響幾何

新華社記者郭爽　林小春　周舟

近期曝出的英特爾芯片存安全漏洞事件因波及范圍廣而備受關(guān)注。那么，此次事件除了影響英特爾公司業(yè)績外，還會造成怎樣的影響？

攻擊門檻較高　打補丁影響性能

英特爾公司首席執(zhí)行官布賴恩·克爾扎尼奇８日在拉斯維加斯消費電子展開場主旨演講中對芯片漏洞回應說，英特爾及業(yè)界其他廠商迄今均未獲知任何基于這些潛在風險的惡意軟件。普通用戶確保自己數(shù)據(jù)安全的“最好方法”就是在系統(tǒng)提供更新補丁時及時安裝。到本周末，英特爾發(fā)布的更新補丁預計將覆蓋過去５年內(nèi)推出的９０％以上處理器產(chǎn)品，其余產(chǎn)品的補丁將于１月底前發(fā)布。

對芯片漏洞的危害性，英特爾法律政策部副總裁王洪彬接受新華社記者采訪時說：“這是在極端情況下測試出來的。在極端情況下，這些潛在的攻擊被用于惡意目的時，有可能不當?shù)厥占舾袛?shù)據(jù)，但不會損壞、修改或刪除數(shù)據(jù)?！?/p>

王洪彬說，惡意軟件要利用相關(guān)漏洞來危害系統(tǒng)安全“必須在本地系統(tǒng)中運行”，也就是說，相關(guān)漏洞“攻擊門檻很高、很難被利用”。

不過，網(wǎng)絡安全專家警告，使用云計算服務的企業(yè)可能尤其容易受到襲擊。如果攻擊者付費后得以進入這種服務的某個領(lǐng)域，他們有可能獲得其他客戶的信息，盡管目前還沒有發(fā)現(xiàn)此類襲擊。

美國國土安全部在一份聲明中說，目前未發(fā)現(xiàn)“利用”這些漏洞的行為。聲明還指出，打安全補丁是解決漏洞最好的保護辦法，但打補丁后電腦性能可能下降多達３０％，并且芯片漏洞是由中央處理器（ＣＰＵ）架構(gòu)而非軟件引起，所以打補丁并不能徹底解決芯片漏洞。

美國卡內(nèi)基－梅隆大學的一個安全研究也小組認為，徹底消除這些致命缺陷的唯一辦法是更換硬件，更新操作系統(tǒng)只能“緩解”一些問題。

美國石英財經(jīng)網(wǎng)站等媒體日前也披露，英特爾漏洞的修補過程可能導致全球個人電腦單機和聯(lián)網(wǎng)性能下降。對此，英特爾公司９日發(fā)表聲明承認，給芯片安全漏洞打補丁讓使用其第八代“酷?！碧幚砥鞯碾娔X性能降低約６％。

微軟公司當天也發(fā)布了最新性能影響評估結(jié)果，認為“幽靈”變種１和“崩潰”兩個漏洞的補丁幾乎不影響性能，但給“幽靈”變種２打補丁確實影響性能，但這些影響都是毫秒級，多數(shù)用戶無法覺察。

不過，對使用２０１５年或之前的Ｈａｓｗｅｌｌ等老處理器架構(gòu)的“視窗８”或“視窗７”電腦，一些基準測試顯示出“更明顯的減速”，且微軟認為“一些用戶將會注意到系統(tǒng)性能的降低”。

隱患不止英特爾　業(yè)界補救緊鑼密鼓

事實上，這一安全問題并非近期才發(fā)生，涉及芯片也遠不止英特爾。谷歌公司旗下“零點項目”安全研究者團隊最早于２０１７年發(fā)現(xiàn)了問題所在。

“零點項目”是２０１４年７月由谷歌啟動的互聯(lián)網(wǎng)安全項目，成員主要由谷歌內(nèi)部頂尖安全工程師組成，專門負責找出網(wǎng)絡系統(tǒng)安全漏洞。２０１７年，該團隊發(fā)現(xiàn)了３種由中央處理器底層架構(gòu)采用“推測性執(zhí)行”方法引發(fā)的攻擊方式，將其中兩種命名為“崩潰”，另一種命名為“幽靈”。

“零點項目”說，這些芯片級漏洞可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存，從而讀取敏感信息。當這些漏洞被用于惡意目的時，可能會有從計算設(shè)備中收集敏感數(shù)據(jù)的潛在風險。

２０１７年６月，“零點項目”向英特爾、美國超威半導體（ＡＭＤ）、英國阿姆控股（ＡＲＭ）等芯片廠商通報了這些漏洞的情況。英特爾和超威芯片廣泛應用于個人電腦和服務器上，而阿姆是安卓系統(tǒng)智能手機、平板電腦芯片的主要設(shè)計者。

２０１７年下半年，又有美國賓夕法尼亞大學、馬里蘭大學、奧地利格拉茨技術(shù)大學、澳大利亞阿德萊德大學等機構(gòu)的其他幾位研究者獨立發(fā)現(xiàn)了上述攻擊方法。對于他們的發(fā)現(xiàn)，這些研究者同意在“零點項目”和產(chǎn)業(yè)界協(xié)商的２０１８年１月９日披露時間點前予以保密。

１月３日，美國科技媒體《紀事》搶先披露了這一芯片安全問題。隨后，“零點項目”緊急公布了研究結(jié)果，英特爾發(fā)布了產(chǎn)品說明、受影響處理器清單等信息。超威半導體也已通過官方聲明承認部分處理器存在安全漏洞。阿姆控股也表示，許多采用該公司Ｃｏｒｔｅｘ架構(gòu)的處理器存在安全漏洞。

據(jù)介紹，這一架構(gòu)技術(shù)被廣泛用于采用安卓和ｉＯＳ操作系統(tǒng)的設(shè)備、部分英偉達圖睿和高通驍龍芯片以及索尼ＰＳＶ游戲機等產(chǎn)品上。高通表示正在修復安全漏洞，但未指明受影響芯片。

目前，谷歌、亞馬遜、微軟等科技巨頭紛紛采取應對行動。谷歌表示，該公司許多產(chǎn)品受漏洞威脅的可能性已降低。

對于這一廣泛波及全球行業(yè)和用戶的安全事件，中國國家信息安全漏洞共享平臺４日發(fā)出安全預警，提示公眾操作系統(tǒng)廠商已發(fā)布補丁更新，建議用戶及時下載補丁進行更新，并建議廣大用戶密切跟蹤該安全隱患的最新情況，對芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補丁及時跟蹤測試，在做好全面審慎的評估工作基礎(chǔ)上，制定修復工作計劃，及時安裝。（參與記者張瑩）