(本文授權轉載自:數位時代,作者:高敬原)
2018年第一周都還沒過完,科技圈就非常不平靜,先是蘋果的「電池門」事件引發議論,本周也傳出半導體大廠 Intel近年生產的處理器出現安全瑕疵,影響層面擴及個人電腦、智能手機、雲端服務,可能導致受保護的核心記憶體(protected kernel memory)資料外洩,開發人員雖然已著手進行軟體修復,但卻傳出更新後有可能導致產品效能降低 5% 至 30%。
處理器重大安全漏洞,私密資料有外洩疑慮
這宗安全漏洞消息,是由 Alphabet 旗下的 Google Project Zero 團隊,以及多國的研究人員共同合作發布的研究報告所揭露,存在 Intel 處理器的設計瑕疵存在已久,推測近 10 年搭載 Intel 處理器的 Windows、Mac 與 Linux 電腦可能都受到影響。
報告中提到被命名為「Meltdown」跟「Spectre」的兩個漏洞,其中「Meltdown」的漏洞只存在於 Intel 晶片,可以讓駭客接觸到電腦記憶體內的私密資料,包括瀏覽器上的密碼、帳號登入資訊、照片、e-mail、個人訊息,甚至是商業文件,發現 Meltdown 漏洞的研究人員甚至說,這有可能是近來最嚴重的處理器(CPU)漏洞之一。
處理器漏洞風暴延燒,各家晶片大廠紛發聲明
研究人員在報告中指出:「根據現在的分析,不同的電腦裝置、配有不同供應商的處理器以及運作系統,也都有受到攻擊的可能。」先前還一度傳出超微(AMD)生產的處理器也受到漏洞影響,隨著整起事件越演越烈,AMD也趕緊發出聲明,強調自家處理器由於基礎架構設計的不同,因此AMD處理器幾乎不可能存在Intel這一系列的安全問題;ARM隨後也透過聲明表示,產品核心通常採用管控嚴格的封閉環境,因此也幾乎沒有遭到攻擊的風險;Nvidia也透過聲明表示,圖形處理器(GPU)是公司的核心業務,有信心自家的GPU硬體不受到影響,也正積極更新GPU以降低處理器的安全風險。
Intel 執行長科再奇(Brian Krzanich)在本周一個訪談中表示:「我們好幾個月以前就收到 Google 的通知(安全漏洞消息)。」並表示截至目前沒有出現任何駭客攻擊的案例,保證很快就會提出補救的措施。
但在風頭上的 Intel 卻爆出執行長科再奇,在漏洞消息被揭露前,大賣持有價值數百萬美元的 Intel 股票,根據申報資料,科再奇是在去年 10/30 售股前一個月才擬定交易計畫,但 Intel 和其他晶片商早在去年六月就已接獲安全漏洞警告。
面對質疑,Intel 發言人強調,科再奇本次售股與「Meltdown」、「Spectre」漏洞事件無關,並強調 Intel 發現漏洞問題後,原先計劃跟微軟、Google 要在下周公布解決方案,但沒想到卻被媒體搶先踢爆,並非刻意隱匿消息。
新系統更新後,效能降3成
這次的漏洞事件,幾乎影響到現代每一個電腦處理器,2005 年以後生產的 Mac 電腦幾乎都使用 Intel 晶片,目前微軟 Windows 和 Linux 開發人員已經開始著手進行軟體修復,針對 Windows、Linux、macOS 釋出補丁。現階段釋出的修復軟體主要都是針對「Meltdown」漏洞,開發人員表示因為「Spectre」難度較高,目前仍是無解的狀態。
針對本次安全漏洞疑慮,蘋果在去年 12 月釋出的 macOS 10.13.2 已經修復部分問題,預計在下一個版本 macOS 10.13.3 中,將提供完整的解決方案;微軟 Windows 系統方面,則預計在下周透過 Windows Updates 自動更新修復。
但釋出軟體更新的同時,卻也出現了跟最近蘋果「電池門事件」有點相互輝映的問題,影響的層級是需要透過更新 Linux Kernel 才能解決,包括 Linux 、 Windows 與 64 位元的 Mac 都需要進行修復,意思是需要將核心記憶體資料隔離起來才能修復這項漏洞,但這有可能會造成無法避免的效能損失。
對 Intel 產品產生的降速程度可能是 5% 至 30%,大部分的電腦則是 17% 至 23%,預計會在下周推出更新軟體,但這部分沒有任何公開文件說明、訊息相對不完整,也不清楚 Mac 系統的影響程度會是如何,但 Intel 強調,電腦效能是跟工作負載強度有關,就算效能降低,情況也會隨時間而減緩,且一般用戶更新後並不會有很明顯的效能降低問題,要大家不必過度擔心。
補充 Intel 回應:
Intel 透過官方聲明回應,自家運算裝置不太有可能因為攻擊導致資料用戶資料損壞、修改或刪除。同時強調所有運算裝置都會受到類似攻擊,並非 Intel 產品獨有缺陷。
(按:Windows、macOS 及 Linux 已發布更新修補 Meltdown 漏洞)