发布于:2018/1/15 16:28:47 | 407 次阅读
处理器漏洞制造“性恐慌”
国内云服务厂商时间拿出应对方案 个人用户受影响有限
IT时报记者 戚夜云
2018年伊始,整个IT界陷入了 CPU漏洞带来的恐慌之中。
Google旗下的Project Zero团队发现了英特尔CPU存在两大严重漏洞:Spectre(幽灵)和Meltdown(熔断)。漏洞是因为先天性的架构设计缺陷所导致,可以让非特权用户访问系统内存从而读取敏感信息。换句话说,黑客可以通过这两个漏洞窃取计算机内的全部内存内容。
紧接着业界人士发现,受影响的不仅仅是英特尔,还有和ARM。由于这三者在处理器市场上有着非常高的份额,意味着无论是Windows、Linux、Mac系统还是移动端的Android,都存在潜在的安全威胁,其中以英特尔芯片受影响最为严重。
这次“史诗级”CPU“漏洞门”危机。在中国,上海、天津等地的网信办部门已经发出预警通报,要求相关单位启动网络安全应急预案,并采取应对措施。
认为,此次“漏洞门”对云服务厂商造成较大影响,而对个人影响较小,安装补丁后,性能损失有限。不过因为应对及时,业内人士对这一事件均保持乐观态度。
云服务厂商受影响较大
云服务提供商通常大量依赖虚拟化技术,很多云服务主机实际上是将每个CPU线程通过虚拟机的形式出租出去。比如通过虚拟机,可以在一台计算机上虚拟出十几台互相可以独立操作的计算机系统。“过高依赖CPU内核的虚拟化技术和主要以访问外部I/O(输入输出)设备为主的使用场景,使得在此次的安全风险中,云服务厂商受到的影响较大。”业内人士赵晓峰(化名)说道。
那么具体是如何影响的呢?赵晓峰打比方说:“我拿着假的录取通知书去拿宿舍钥匙,我虽然会被发现是假冒的,但是在这一过程中,我会发现相应学号对应的相应宿舍。这样,我就能推测出不同的学生住在哪了。”
也就是说,利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息;当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的个人隐私信息可能会被泄露。
个人信息的泄露尚且有限,对于搭载英特尔芯片的企业用户而言,若是商业机密遭泄露,那无疑是致命的。在云服务场景中,利用Spectre漏洞可以突破用户间的隔离,窃取其他用户的数据。“云服务中的用户隔离是云安全的基石,Spectre漏洞突破云服务中用户隔离的能力可以对云服务产生致命的危害。”安全玄武实验室负责人于旸解释道。
目前国内云服务厂商反应相当迅速,纷纷在时间拿出解决方案。表示,解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,云已经启动了云平台底层基础架构的漏洞修复更新,最迟于北京时间1月12日24点之前完成。云方面对《IT时报》记者表示,在发现问题的时间启动应急措施,积极推进漏洞修复。“对于虚拟机系统,根据各个系统的osvc(智能桌面虚拟化),厂商做的修复及时更新,用户只需要及时更新补丁即可。云平台的物理机层面,将于2018年1月12日零点进行热修复升级。”百度云方面称。
腾讯、华为、金山、、等云服务厂商均发布了相关通知,进行平台安全升级。不过业内人士认为,为了防御这两组漏洞,云厂商需要更新硬件设备,升级操作系统,这必将带来服务成本的上升。
攻击案例尚未发生
虽然英特尔的CPU漏洞已经存在20年之久,影响面十分广泛,但是截至目前,尚未发现相关攻击案例。
于旸表示,这是因为发起攻击的难度比较大,“由于此漏洞是CPU硬件级别的,对这类漏洞的研究需要很深的知识,门槛比一般的软件应用漏洞挖掘要高很多。同时由于这两组漏洞只会造成信息泄露,不依靠其他漏洞很难发起完整的远程攻击。”
“侧信道攻击(英特尔将此次被利用漏洞的攻击称为测信道攻击Side Channel attack)其实不是现在才有的,但CPU漏洞无疑提高了被攻击后的风险,使攻击者获得更多数据。但是这一切的前提是,之前一系列操作都没有被安全软件和系统安全机制甚至硬件安全机制察觉,这本身也是很难的。”赵晓峰说道。
攻击案例尚未发生的另一方面原因在于,很多人未意识到芯片设计存在漏洞,或者不认为这是漏洞。
赵晓峰表示:“在过去,英特尔不认为Meldtown是漏洞,但现在被认为是漏洞。Spectre可以认为是,过去大家都不觉得这是漏洞而现在是漏洞的漏洞。”
这样的例子在IT史上并不少见,比如计算机语言中有“二分法”查找思想,于1946年提出,1962年被认为无误,但是在10年前推翻了这一说法。“同理,分支预测和乱序执行的思想(导致Spectre漏洞)也经历了提出、论证成功、不断改进、大规模使用到现在发现漏洞,这是一个长期的过程,或许10年后我们还会发现今天认为没错的设计,是一个漏洞。”
对个人用户影响有限
比起安全方面的危害,更多企业和个人用户担心的是修补漏洞带来的“30%”的性能损失。不过对于“30%性能损失”的说法,英特尔方面予以了否认。同时,、微软、和Google的测试结果也都表明系统更新不会对性能造成太大影响。
“最初的性能损失评估是针对Meltdown漏洞,通过设立用户权限和内核权限的页表隔离,因为这样一旦用户对内核进行访问,就会受到严格的页表检查,换句话,权限的检查被提前了,这样导致某些应用下性能会下降,尤其是虚拟机,因为是通过应用程序借助CPU虚拟化技术虚拟一个新的计算机系统,这被推测有大量内核与用户数据之间的访问,而这类应用估计会有5%-30%的损失。”赵晓峰说道。
赵晓峰对英特尔酷睿i77700HQ处理器在更新补丁前后进行了一些测试,包括使用sisoftware 2017的内存事务性测试,.net公共虚拟机语言环境的算术和SIMD测试(广义虚拟机下的计算测试),内存与缓存带宽测试和在Android studio上使用虚拟设备运行安兔兔的测试,“目前来看,个人电脑无需担心,除了安兔兔有一两项有明显影响外(原因还不能确定是补丁影响),总体没有明显的性能变化。”
对于IT行业而言,业内张攀表示“性能损失不是一件坏事”,CPU架构的发展都是缘起于如何解决问题。当前CPU架构已许久没有创造性地改造,这个问题有可能成为CPU架构更新的契机,推动CPU的进步,从而造福IT产业。
近年来智能网联汽车快速发展,新技术不断涌现,与相关产业融合度持续提升,正在推动全球汽车产业发生深刻变革。为应对此种形势,欧、美、日等汽车工业发达国家和地区都加大了智能网联汽车的国际标准法规协调的参与力度,在联合国世界车辆法规论坛(UN/WP.29)和国际标准化组织(ISO)层面,智能网联汽车相关国际标准法规协调活动正快速推进。 为更有效地支撑上述组织的国际标准法规协调活动,2017年全国汽车标准
0215jiejie
|
发布于:2022-12-01
0评论
0赞
据苹果官网,苹果推出搭载M2芯片的新款iPadPro。 11英寸wifi版起售价为799美元,wifi+蜂窝网络版起售价为999美元;12.9英寸wifi版起售价为1099美元,wifi+蜂窝网络版起售价为1299美元。
0215jiejie
|
发布于:2022-10-19
0评论
0赞
全球五大车展之一巴黎车展时隔四年再度启幕。在这场被视为“全球汽车行业风向标”的盛会上,国内外汽车品牌云集,长城汽车、比亚迪等再次领衔中国汽车出海。 长城汽车欧洲区域总裁孟祥军表示:“欧洲是长城汽车最重要的海外市场之一,巴黎车展是长城汽车向欧洲市场展示GWM品牌和产品的最佳机会。长城汽车正在研究汽车行业碳排放的整个生命周期,到2025年,将推出50多款新能源产品,全力支持可再生能源使用,为全球用户
0215jiejie
|
发布于:2022-10-19
0评论
0赞
针对通配烟弹厂商的一系列诉讼的结果,将对生产通配烟弹的品牌未来在电子烟行业的发展产生深远影响。 10月1日,《电子烟强制性国家标准》正式实施,中国电子烟监管全面生效。而在电子烟行业进入规范化、法治化阶段前夕,一场围绕着通配烟弹的争论在行业里发酵。 “通配”是电子烟从业者约定俗成的概念。换弹式电子烟由烟杆和烟弹组成,“通配”烟弹指的是非品牌商生产、可与品牌烟杆匹配使用的烟弹。多位业内人士表示,被
0215jiejie
|
发布于:2022-10-19
0评论
0赞
采用金属感应引脚,专用于大电流应用中进行精确测量 全新分流电阻器专为电池管理系统、大电流工业控制和电动汽车充电站 提供高可靠性、高成本效益的解决方案 美国柏恩Bourns全球知名电子组件领导制造供货商,宣布新增12款CSM2F系列功率分流电阻器,扩展其产品组合。全新系列采用铆接通孔金属传感引脚,可满足大电流应用中对电压测试点精确定位日益增长的需求。最新型Bourns?CSM2F系列分流电阻器
0215jiejie
|
发布于:2022-10-18
0评论
0赞
元宇宙是个筐,啥都往里装,但区别在于有的像聚宝盆,有的像垃圾桶。国庆假期刚结束,中青宝“90后”董事长李逸伦便亲自上阵,玩起了元宇宙婚礼。靠着老板首秀和代言,中青宝顺势推出“MetaLove元囍”App,正式进军元宇宙婚礼赛道。 就产品而言,如同其他元宇宙产品,李逸伦的元宇宙婚礼“新奇与吐槽齐飞”:有人说是有趣的尝试,有人则认为像QQ炫舞结婚系统。要知道,QQ炫舞是一款推出了十余年的老游戏。
0215jiejie
|
发布于:2022-10-13
0评论
0赞
截至8月末,中国5G基站总数达210.2万个,中国5G发展已经进入下半场。随着5G加速融入千行百业,互动直播、vCDN、安防监控等场景率先大规模落地,车联网、云游戏、工业互联网、智慧园区、智慧物流等场景也快速走向成熟,这些更大流量、更低时延、更高性能的场景涌现,对边缘计算的刚性需求势必爆发。 GrandViewResearch预测,即使在新型冠状病毒肺炎疫情肆虐全球的背景下,边缘计算和5G网络市
0215jiejie
|
发布于:2022-10-13
0评论
0赞
商务部回应美商务部升级半导体等领域对华出口管制并调整出口管制“未经验证清单”
商务部新闻发言人10日就美商务部升级半导体等领域对华出口管制并调整出口管制“未经验证清单”应询答记者问。 有记者问:近日,美国商务部在半导体制造和先进计算等领域对华升级出口管制措施。同时,在将9家中国实体移出“未经验证清单”过程中,又将31家中国实体列入,请问中方对此有何回应? 对此,商务部新闻发言人回应称,中方注意到相关情况。首先,通过中美双方前一阶段共同努力,9家中国实体zui终
0215jiejie
|
发布于:2022-10-13
0评论
0赞
今年1月,奔驰带来了VISIONEQSS概念车,其中控台采用了一块完全无缝的47.5英寸曲面显示屏,横贯整个A柱,令人印象深刻。今天,TCL华星正式官宣与奔驰达成合作,并认领了VISIONEQSS上这块全球首款横贯整个A柱曲面的车载显示屏。 根据TCL介绍,这款显示屏采用了完全无缝的超薄一体化设计,将仪表盘、中控与副驾娱乐显示融为一体,并能够与3D实时导航系统相辅相成。 同时,这块显示屏还采用
0215jiejie
|
发布于:2022-10-12
0评论
0赞
国庆假期后首日开盘,上证综指时隔5个月再次失守3000点,与此同时,半导体板块也再度走低,其中,北方华创、雅克科技等个股跌停。10月11日早盘期间,半导体板块持续下挫,北方华创、雅克科技再度跌停。截至下午收盘,北方华创、雅克科技维持跌停状态,华海清科、拓荆科技-U、盛美上海、清溢光电、海光信息的跌幅则超10%。同日,半导体板块中的119只个股中超五成呈现下跌趋势。 在半导体板块遭遇下挫的同时,北
0215jiejie
|
发布于:2022-10-12
0评论
0赞
//评论区