北美首頁 | 新聞 | 時尚 | 大陸 | 台灣 | 美國 | 娛樂 | 體育 | 財經 | 圖片 | 移民 | 微博 | 健康
Value Engine Stock Forecast
ENTER SYMBOL(S)

英特爾晶片漏洞門泄露 股價暴跌市值蒸發200億美元

http://finance.sina.com   2018年01月13日 01:47   中國經營報

  自美國科技博客The Register於2018年1月2日率先披露由CPU Speculative Execution引發的晶片級安全漏洞Spectre(中文名“幽靈”,有CVE-2017-5753和CVE-2017-5715兩個變體)、Meltdown(中文名“熔斷”,有CVE-2017-5754一個變體)以來,英特爾、ARM、AMD、蘋果、IBM、高通、英偉達等都已承認自家處理器存在被攻擊的風險。

  盡管由CPU底層設計架構引發的此次安全“漏洞門”事件,波及到几乎所有的晶片廠商,但全球晶片業“老大”——英特爾成為最顯著的輸家。《中國經營報》記者注意到,英特爾的股價已經由1月2日的46.85美元/股下跌至1月11日的42.50美元/股,市值縮水204億美元。又觀英特爾的競爭對手AMD,該公司股價已經從1月2日的10.98美元/股漲至1月11日的11.93美元/股,漲幅接近10%。

  英特爾等晶片廠商、微軟等作業系統廠商、蘋果等終端廠商應對此次CPU安全“漏洞門”的措施均指向“打補丁”。英特爾中國相關發言人1月10日在電話和郵件中告訴《中國經營報》記者,“(2017年)12月初我們開始向OEM合作伙伴發布韌體更新。我們預計(過去)一周內發布的更新將覆蓋過去5年內推出的90%以上的英特爾處理器,其余的將在(2018年)1月底前發布。此后我們將繼續發布其他産品的更新。”該發言人強調英特爾“不會進行晶片召回”。

  “漏洞門”被提前泄露

  此輪CPU“漏洞門”被譽為“千年蟲”之后計算設備發展史上最大的安全漏洞。

  什麼是“千年蟲”?也就是計算機2000年問題。因為以前計算機內存比較小,年份都是用兩位數表示,比如1980年就是80,到1999年,80年出生就是99-80=19歲,但是在2000年,變成00-80=-80歲了,這就是所謂的“計算機2000年問題”。

  此次CPU“漏洞門”又是怎麼回事?華為一位技術專家告訴《中國經營報》記者,人們向計算機發出的指令分為正常可被執行、異常不被執行兩種,按照最初的架構設計,異常不被執行的指令會留在緩存裏面,同時被認為不會留下任何痕跡,所以即使這些指令可以看到內存機密信息也沒關係,但現在已證實這些指令還是在曾經訪問過的內存裏面留下蛛絲馬跡,並且可以被攻擊者利用,從而導致用戶敏感信息泄露。

  谷歌旗下的Project Zero(零項目)團隊率先發現了由CPU Speculative Execution引發的這些晶片級漏洞,並將之命名為Spectre(幽靈)和Meltdown(熔斷),並通過測試證實了Spectre(幽靈)影響包括英特爾、AMD、ARM等在內的衆多廠商的晶片産品,Meltdown(熔斷)則主要影響英特爾晶片。

  “這些漏洞是谷歌公司的Project Zero團隊最初在2017年6月向英特爾、AMD、ARM公司通報的。因為這些安全風險涉及各種不同的晶片架構,所以在獲得Project Zero團隊通報並對問題予以驗證之后,英特爾、AMD、ARM等廠商迅速走到一起,並由谷歌牽頭簽訂了保密協議,同時在保密協議的約束下展開合作,從而保證在約定的問題披露期限(2018年1月9日)到達之前找到解決問題的方案。”英特爾中國相關人士告訴《中國經營報》記者。

  不僅是谷歌的Project Zero團隊,在2017年下半年又有數位研究者獨立發現了這些安全漏洞。“這些研究者得知這些安全問題已經由Project Zero團隊向晶片廠商做出通報,産業界正在合作,加緊開發解決方案之后,也同意在産業界協商同意的披露時間點(2018年1月9日)之前對他們的發現予以保密。”英特爾中國相關人士表示。

  但隨着披露時間點(2018年1月9日)的臨近,此次CPU安全“漏洞門”還是在2018年1月2日被提前披露。谷歌隨后2018年1月3日也披露了相關情況——Project Zero團隊在2017年6月1日向英特爾、AMD、ARM通報了Spectre,2017年7月28日又向英特爾通報了Meltdown。

  抱團應對

  盡管與“千年蟲”類似,此次CPU安全“漏洞門”的根本原因是底層架構設計造成的,但問題被披露以后,輿論的矛頭主要指向了英特爾。

  一位業內人士在接受《中國經營報》記者採訪時認為,一方面是因為Spectre和Meltdown兩個漏洞都涉及到了英特爾,另一方面是因為英特爾是全球晶片行業的“老大”,其産品覆蓋面、受影響的用戶群體無疑是最大的。

  對於CPU安全“漏洞門”被媒體定義為英特爾晶片安全“漏洞門”,英特爾方面頗感委屈。《中國經營報》記者2018年1月3日收到的《英特爾關於安全研究結果的回應》稱,這些安全漏洞“不是英特爾産品所獨有”。1月4日,英特爾發布更新聲明,表示“英特爾已經針對過去5年中推出的大多數處理器産品發布了更新。到下周末(1月14日),英特爾發布的更新預計將覆蓋過去5年中推出的90%以上的處理器産品。”

  根據美國《俄勒岡人報》報導,英特爾CEO柯再奇在1月8日還向員工發送了一份備忘錄,表明該公司將建立新的“英特爾産品保證和安全”部門,加強安全工作。柯再奇在1月9日的CES 2018開幕演講中再次強調,“在本周內,修復更新將覆蓋到90%的近5年産品,剩餘的10%也會在1月底前修復。”

  在英特爾之后,AMD、ARM、高通、英偉達、蘋果、IBM等廠商也陸續承認了此次“漏洞門”對自家的産品有影響,並表示可以通過系統補丁更新進行解決。

  比如,ARM在公開聲明中表示“許多Cortex系列處理器存在漏洞”;AMD官方聲明承認部分處理器存在安全漏洞;IBM表示“谷歌公佈的晶片潛在攻擊隱患對所有微處理器都有影響,包括IBM Power系列處理器”;高通表示,“針對近期曝光的晶片級安全漏洞影響的産品,公司正在開發更新”;英偉達聲稱,該公司部分晶片被Spectre影響,可以引發內存泄露。上述公司在承認受到“漏洞門”影響的同時,也都表示正在或者已經開發安全補丁,以提升受影響晶片的安全水平。

  不僅是晶片廠商,微軟、谷歌、蘋果等作業系統及終端廠商,也陸續加入為用戶“打補丁”的行列。比如,蘋果在官方網站承認“所有的Mac系統和iOS設備都受影響,但到目前為止還沒有利用該漏洞攻擊消費者的實例”;蘋果還聲稱,“將更新Safari以防範攻擊,同時也在對兩種漏洞進行進一步的研究,將在iOS、macOS以及tvOS更新中發布新的解決方案。”

  現集體訴訟

  盡管晶片廠商、作業系統廠商、終端産品廠商都在嘗試用“打補丁”的方式解決此次CPU安全“漏洞門”危機,但消費者對産業界的應對方式並不滿意。

  根據美國科技新聞網站Engadget報導,因為CPU安全“漏洞門”事件,英特爾在美國已遭遇三宗訴訟,且全是集體訴訟。Engadget認為,這意味着受到損害的更多消費者可以加入原告隊伍進行索賠。目前還未爆髮針對AMD等其他廠商的訴訟事件。

  簡單來说,消費者起訴英特爾的原因主要有兩個層面,一是時隔半年之后才披露安全隱患,二是“打補丁”會影響自己電腦的性能表現。

  對於延期披露的問題,英特爾中國相關人士表示,這是在為積極應對爭取時間,從得知漏洞存在到如今的6個月,英特爾一直在聯合其他廠商加快尋找問題解決之道,“一個由大型科技公司組成的聯盟已經展開合作,研究並准備應對方案”。

  對於影響設備性能的問題,外媒援引一名開發人員的说法稱,對CPU內核進行的修補將影響所有的作業系統工作,大部分軟件運行將出現“一位數下滑”(即10%以下),典型性能下降幅度為5%,而在聯網功能方面,最糟糕的性能下降幅度為30%。也就是说,通過“打補丁”解決安全“漏洞門”,將導致計算設備性能下降5%~30%。

  但英特爾方面在郵件中堅持認為,“Meltdown和Spectre兩個CPU漏洞不會對電腦性能産生太大影響”,該公司“SYSmark測試顯示,‘打補丁’之后的CPU性能降幅大約為2%~14%”。

  事實上,《中國經營報》記者注意到,英特爾和AMD等廠商在過去發生過多起CPU Bug事件,比如1994年發現的奔騰FDIV Bug、1997年發現的奔騰FOOF Bug事件、2008年發現的英特爾ME漏洞等,以及AMD的Phenom(弈龍) TLB Bug、Ryzen(鋭龍) Segfault Bug等。其中英特爾奔騰FDIV Bug是一個不折不扣的缺陷,最初英特爾並不重視,只決定為部分被證明受影響的用戶更換CPU,后來迫於輿論和市場壓力,英特爾召回了所有受影響的CPU,當時損失高達4.75億美元。后來被發現的多起CPU Bug事件,英特爾和AMD都是通過“打補丁”的方式來解決問題的。

  針對此次安全“漏洞門”,英特爾會不會召回自家晶片?英特爾中國相關發言人援引柯再奇的公開说法稱,Meltdown和Spectre要比1994年的奔騰FDIV容易解決,而且英特爾已經開始在解決這些漏洞,因此英特爾“不會召回受Meltdown和Spectre漏洞影響的晶片産品”。

Bookmark and Share
|
關閉
列印
轉寄
DJIA25803.1895
+228.4600
NASDAQ7261.0619
+49.2848
S&P 5002786.2400
+18.6800

今日焦點新聞

新浪推薦