近期曝出的英特爾芯片存安全漏洞事件因波及范圍廣而備受關(guān)注。那么，此次事件除了影響英特爾公司業(yè)績(jī)外，還會(huì)造成怎樣的影響？

攻擊門檻較高　打補(bǔ)丁影響性能

英特爾公司首席執(zhí)行官布賴恩·克爾扎尼奇8日在拉斯維加斯消費(fèi)電子展開場(chǎng)主旨演講中對(duì)芯片漏洞回應(yīng)說，英特爾及業(yè)界其他廠商迄今均未獲知任何基于這些潛在風(fēng)險(xiǎn)的惡意軟件。普通用戶確保自己數(shù)據(jù)安全的“最好方法”就是在系統(tǒng)提供更新補(bǔ)丁時(shí)及時(shí)安裝。到本周末，英特爾發(fā)布的更新補(bǔ)丁預(yù)計(jì)將覆蓋過去5年內(nèi)推出的90%以上處理器產(chǎn)品，其余產(chǎn)品的補(bǔ)丁將于1月底前發(fā)布。

對(duì)芯片漏洞的危害性，英特爾法律政策部副總裁王洪彬接受新華社記者采訪時(shí)說：“這是在極端情況下測(cè)試出來的。在極端情況下，這些潛在的攻擊被用于惡意目的時(shí)，有可能不當(dāng)?shù)厥占舾袛?shù)據(jù)，但不會(huì)損壞、修改或刪除數(shù)據(jù)。”

王洪彬說，惡意軟件要利用相關(guān)漏洞來危害系統(tǒng)安全“必須在本地系統(tǒng)中運(yùn)行”，也就是說，相關(guān)漏洞“攻擊門檻很高、很難被利用”。

不過，網(wǎng)絡(luò)安全專家警告，使用云計(jì)算服務(wù)的企業(yè)可能尤其容易受到襲擊。如果攻擊者付費(fèi)后得以進(jìn)入這種服務(wù)的某個(gè)領(lǐng)域，他們有可能獲得其他客戶的信息，盡管目前還沒有發(fā)現(xiàn)此類襲擊。

美國國土安全部在一份聲明中說，目前未發(fā)現(xiàn)“利用”這些漏洞的行為。聲明還指出，打安全補(bǔ)丁是解決漏洞最好的保護(hù)辦法，但打補(bǔ)丁后電腦性能可能下降多達(dá)30%，并且芯片漏洞是由中央處理器（CPU）架構(gòu)而非軟件引起，所以打補(bǔ)丁并不能徹底解決芯片漏洞。

美國卡內(nèi)基-梅隆大學(xué)的一個(gè)安全研究也小組認(rèn)為，徹底消除這些致命缺陷的唯一辦法是更換硬件，更新操作系統(tǒng)只能“緩解”一些問題。

美國石英財(cái)經(jīng)網(wǎng)站等媒體日前也披露，英特爾漏洞的修補(bǔ)過程可能導(dǎo)致全球個(gè)人電腦單機(jī)和聯(lián)網(wǎng)性能下降。對(duì)此，英特爾公司9日發(fā)表聲明承認(rèn)，給芯片安全漏洞打補(bǔ)丁讓使用其第八代“酷睿”處理器的電腦性能降低約6%。

微軟公司當(dāng)天也發(fā)布了最新性能影響評(píng)估結(jié)果，認(rèn)為“幽靈”變種1和“崩潰”兩個(gè)漏洞的補(bǔ)丁幾乎不影響性能，但給“幽靈”變種2打補(bǔ)丁確實(shí)影響性能，但這些影響都是毫秒級(jí)，多數(shù)用戶無法覺察。

不過，對(duì)使用2015年或之前的Haswell等老處理器架構(gòu)的“視窗8”或“視窗7”電腦，一些基準(zhǔn)測(cè)試顯示出“更明顯的減速”，且微軟認(rèn)為“一些用戶將會(huì)注意到系統(tǒng)性能的降低”。

隱患不止英特爾　業(yè)界補(bǔ)救緊鑼密鼓

事實(shí)上，這一安全問題并非近期才發(fā)生，涉及芯片也遠(yuǎn)不止英特爾。谷歌公司旗下“零點(diǎn)項(xiàng)目”安全研究者團(tuán)隊(duì)最早于2017年發(fā)現(xiàn)了問題所在。

“零點(diǎn)項(xiàng)目”是2014年7月由谷歌啟動(dòng)的互聯(lián)網(wǎng)安全項(xiàng)目，成員主要由谷歌內(nèi)部頂尖安全工程師組成，專門負(fù)責(zé)找出網(wǎng)絡(luò)系統(tǒng)安全漏洞。2017年，該團(tuán)隊(duì)發(fā)現(xiàn)了3種由中央處理器底層架構(gòu)采用“推測(cè)性執(zhí)行”方法引發(fā)的攻擊方式，將其中兩種命名為“崩潰”，另一種命名為“幽靈”。

“零點(diǎn)項(xiàng)目”說，這些芯片級(jí)漏洞可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存，從而讀取敏感信息。當(dāng)這些漏洞被用于惡意目的時(shí)，可能會(huì)有從計(jì)算設(shè)備中收集敏感數(shù)據(jù)的潛在風(fēng)險(xiǎn)。

2017年6月，“零點(diǎn)項(xiàng)目”向英特爾、美國超威半導(dǎo)體（AMD）、英國阿姆控股（ARM）等芯片廠商通報(bào)了這些漏洞的情況。英特爾和超威芯片廣泛應(yīng)用于個(gè)人電腦和服務(wù)器上，而阿姆是安卓系統(tǒng)智能手機(jī)、平板電腦芯片的主要設(shè)計(jì)者。

2017年下半年，又有美國賓夕法尼亞大學(xué)、馬里蘭大學(xué)、奧地利格拉茨技術(shù)大學(xué)、澳大利亞阿德萊德大學(xué)等機(jī)構(gòu)的其他幾位研究者獨(dú)立發(fā)現(xiàn)了上述攻擊方法。對(duì)于他們的發(fā)現(xiàn)，這些研究者同意在“零點(diǎn)項(xiàng)目”和產(chǎn)業(yè)界協(xié)商的2018年1月9日披露時(shí)間點(diǎn)前予以保密。

1月3日，美國科技媒體《紀(jì)事》搶先披露了這一芯片安全問題。隨后，“零點(diǎn)項(xiàng)目”緊急公布了研究結(jié)果，英特爾發(fā)布了產(chǎn)品說明、受影響處理器清單等信息。超威半導(dǎo)體也已通過官方聲明承認(rèn)部分處理器存在安全漏洞。阿姆控股也表示，許多采用該公司Cortex架構(gòu)的處理器存在安全漏洞。

據(jù)介紹，這一架構(gòu)技術(shù)被廣泛用于采用安卓和iOS操作系統(tǒng)的設(shè)備、部分英偉達(dá)圖睿和高通驍龍芯片以及索尼PSV游戲機(jī)等產(chǎn)品上。高通表示正在修復(fù)安全漏洞，但未指明受影響芯片。

目前，谷歌、亞馬遜、微軟等科技巨頭紛紛采取應(yīng)對(duì)行動(dòng)。谷歌表示，該公司許多產(chǎn)品受漏洞威脅的可能性已降低。

對(duì)于這一廣泛波及全球行業(yè)和用戶的安全事件，中國國家信息安全漏洞共享平臺(tái)4日發(fā)出安全預(yù)警，提示公眾操作系統(tǒng)廠商已發(fā)布補(bǔ)丁更新，建議用戶及時(shí)下載補(bǔ)丁進(jìn)行更新，并建議廣大用戶密切跟蹤該安全隱患的最新情況，對(duì)芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試，在做好全面審慎的評(píng)估工作基礎(chǔ)上，制定修復(fù)工作計(jì)劃，及時(shí)安裝