英特尔：过去5年CPU漏洞全修复 下代产品全免疫

　　英特尔CEO回应“漏洞门”

　　“没有发现获取用户数据的情况”

源自：北京晨报

　　北京晨报讯（记者：焦立坤）针对近期曝出的芯片“漏洞门”，英特尔CEO科再奇在2018CES上做出回应称，目前还没有发现任何利用这些潜在隐患问题来获取用户数据的情况。
　　科再奇在发言中表示，正与合作伙伴一起夜以继日地努力解决这些问题，以确保用户数据的安全。“为了确保您的数据始终安全，最佳做法就是当操作系统提供商和系统制造商发布任何更新，您就立即采纳这些更新。”科再奇强调说，安全是英特尔和整个行业的第一要务。
　　科再奇称，英特尔正在针对过去五年推出的处理器产品制作相应的更新，预计一周内覆盖超过90%的产品，1月底将推出面向更多处理器硬件的更新。同时，将继续与业界合作，逐渐把影响减少到最低。
　　综合各种消息，目前涉及这次漏洞的企业和品牌几乎涵盖了全行业：英特尔处理器、ARM架构处理器（安卓阵营）、AMD部分产品、高通手机处理器、IBM Power系列处理器，以及三大手机操作系统，大部分云服务厂商也几乎包括在其中。
　　最近有安全研究人员在英特尔芯片中发现两个关键漏洞，攻击者可以利用漏洞从APP运行内存中窃取数据。

源自：第一财经日报

---

　　芯片漏洞危机发酵 波及苹果高通

⊙记者：李娜

　　“整个产业都在悬崖边儿上跳舞，只是以为还没掉下去。”华为海思的一名内部人员对于近期持续发酵的“芯片漏洞门”感叹。
　　他对第一财经记者表示，目前内部仍然在评估近期被曝光的芯片安全漏洞影响的产品，从某种程度上，同意“影响范围可能会更广”的说法。
　　1月3日，谷歌零项目组（Project Zero）团队发表关于芯片漏洞的具体情况后，包括英特尔、AMD、ARM以及苹果、高通、IBM等在内的多家公司均发表声明，承认其芯片也存在漏洞，有被熔断（Meltdown）或幽灵（Spectre）攻击的风险。
　　苹果官网称，熔断和幽灵攻击方式适用所有现代处理器，并影响几乎所有的计算设备和操作系统，包括Mac系统和iOS设备，但到目前为止，尚未有利用该漏洞攻击消费者的实例。高通则在美国时间1月5日表示，对受近期曝光的芯片级安全漏洞影响的产品，公司正在开发更新。
　　Canalys分析师贾沫对记者表示，这次谷歌公布的漏洞主要有两个，它们都是基于英特尔、AMD和ARM处理器的内核架构端的漏洞，而这次的漏洞跟以往很大不同是硬件端的。从对行业的影响来讲，这是行业内CPU内核架构普遍存在的问题。

漏洞波及大公司
　　由于芯片“漏洞门”不断发酵，英特尔目前在市值上已经损失了接近110亿美元，股价在周三大跌5.5%，创下了2016年10月以来最大的跌幅，而亚马逊、苹果、微软和IBM等科技巨头纷纷在这次漏洞面前无一幸免。
　　“熔断（Meltdown）所利用到的漏洞广泛存在于英特尔和AMD的处理器中，ARM的Cortex A75也有所涉及，但因为A75是Snapdragon845所用到的内核，目前而言，meltdown对手机行业的影响可能并不明显。但是不排除meltdown会影响ARM其他型号的内核，比如有工程师测试出对Cortex A15、A57和A72也会有影响。”贾沫对记者说。
　　对于幽灵（Spectre），贾沫认为，因为涉及到更基础的架构，所以影响的范围更广一些。目前信息是Cortex A8、A9、A15、A17和A57、A72、A73、A75这些会受到影响，这样波及到的手机就会比较多了，比如苹果的iPhone系列（A8、A9），甚至华为的麒麟970使用的也是A72。
　　对于芯片安全隐患的问题，华为芯片部门内部人士对记者表示，正在评估事件影响。
　　高通称，正在积极开发部署漏洞修复的解决方案，并会继续尽最大努力加强产品安全，在部署解决方案的同时鼓励消费者在补丁发布后更新他们的设备。
　　不过，高通发言人并未具体指明哪些型号受到了影响，有业内人士猜测高通即将推出的骁龙845芯片很有可能在受影响名单中，因为它采用了ARM的Cortex A75核心，而这个核心恰恰受到了漏洞的影响。高通股价在上周五盘后交易中下跌约1%。
　　最为“坦诚”的是苹果，苹果称Meltdown和Spectre缺陷与计算机芯片设计基本架构有关，要完全屏蔽非常困难和复杂，新版攻击代码可能会绕过现有补丁软件，去窃取存储在芯片内核内存中的机密信息。目前包括Mac系统和iOS设备的所有产品都会受到影响。
　　除了上述公司外，ARM在1月4日承认，其一系列Cortex架构处理器均有被攻击风险。
　　“这并不是英特尔一家的问题，因为ARM以及宣称不太有问题的AMD都有所波及。但是因为藏得比较深，目前并没有实际证据能够证明这两个漏洞已经被黑客所利用。而且Spectre相较于meltdown更难以被利用（相对应的，因为比较深入，也更难以修复）。目前来看，如果电脑或者手机上并没有病毒软件来获取关联权限去拿到用户的隐私信息（如账号、密码等），黑客还是比较难利用这两个漏洞去进行破坏。”贾沫对记者说。

悬崖边上跳舞
　　从X86到Arm，再到Power架构，在芯片漏洞爆发之后，先进处理器无一幸免。
　　其中“受损最大”的英特尔在给第一财经记者的一份回应声明中提到，目前英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。本周末前，英特尔发布的更新预计将覆盖过去5年内推出的90%以上的处理器产品。此外，许多操作系统供应商、公共云服务提供商、设备制造商和其他厂商也表示，他们正在或已对其产品和服务提供更新。
　　针对熔断攻击，苹果也表示，已发布的iOS 11.2、macOS 10.13.2，以及tvOS 11.2已有防范措施，并且将会更新Safari。为防范幽灵攻击，苹果也在对这两种漏洞进行进一步研究，将在iOS、macOS，以及tvOS更新中发布新的解决方案。
　　但谷歌零项目组（Google Project Zero）博客显示，AMD和Arm处理器在前两种攻击方式中难以幸免。这意味着，从iOS设备到索尼的PlayStation Vita，从Nvidia的Tegra系列芯片，到更多的厂商和产品都有被熔断和幽灵这两种方式攻击的风险。
　　甚至有计算机体系结构专家认为，熔断风险已经被暴露出来，能直接偷浏览器密码，全世界都看到了演示，幽灵的风险也很大，只不过还没有实例释放出来。
　　“整个产业都在悬崖边上跳舞，只是以为还没掉下去。”华为海思的一名内部人员对记者感叹道。
　　集邦拓墣产业研究院分析师姚嘉洋对记者表示，目前几乎各大供货商都有提出针对芯片问题采取的应对措施，芯片漏洞虽然存在，但无需过度反应。但他也坦言，各大处理器厂商在现阶段都有被攻击的风险，而对于下游，应该思考如何降低“万一被攻击”所造成的影响。
　　“市场上可能在某种程度上有些夸大的成分在，就系统设计的角度来看，肩负起安全的工作，不光只是有处理器与操作系统从业者，像是英飞凌与NXP也都有提供相当独到的安全芯片，来补强系统的安全效能。”姚嘉洋表示，对于芯片商来说，在下一代的处理器设计上，是否要从最基本的架构进行翻新？这将是处理器从业者必须思考的课题，毕竟架构翻新，也有可能会带来性能无法有效提升的风险。

源自：澎湃新闻

---

原文标题：权威发布丨上海市网信办就处理器内核高危漏洞发出预警：各关键信息基础设施单位要采取应对措施

　　1月4日，国家信息安全漏洞共享平台（CNVD）收录了CPU处理器内核的Meltdown漏洞（CNVD-2018-00303）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304）。利用上述漏洞，攻击者可以绕过内存访问的安全隔离机制，使用恶意程序来获取操作系统和其他程序的被保护数据，造成内存敏感信息泄露。CNVD对该漏洞的综合评级为“高危”。
　　1月5日上午，上海市网信办向本市各关键信息基础设施主管和运营单位发出预警通报，要求各单位启动网络安全应急预案，并采取应对措施。
　　上海市网信办提醒广大互联网用户注意：从目前了解情况来看，1995年以来大部分量产的处理器均有可能受上述漏洞的影响，且涉及大部分通用操作系统。包括以英特尔为主，ARM、AMD等大部分主流处理器芯片；Windows、Linux、macOS、Android等主流操作系统都受上述漏洞的影响，尤其以英特尔的芯片受上述漏洞影响最为严重。相应的，采用这些芯片和操作系统的公有云服务提供商，私有云、电子政务云等基础设施，广大终端用户，都有可能遭遇利用上述漏洞机理发起的组合攻击。特别需要强调的是，上述漏洞对云计算基础设施的影响是尤为严重的。
　　应急处置措施：
　　从市网信办所掌握的情况来，该漏洞几乎覆盖本市全部连接互联网的关键信息基础设施。市网信办接到漏洞通报后立即启动应急预案，已向本市各关键信息基础设施主管和运营单位发出预警通报，要求各单位启动网络安全应急预案，并采取以下应对措施：
　　一是密切跟踪该漏洞的最新情况，及时评估漏洞对本单位系统的影响。
　　二是对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试，在做好全面审慎的评估工作基础上，制定修复工作计划，及时安装。
　　目前，操作系统厂商已经发布补丁更新，如Linux，Apple和Android，微软也已发布补丁更新。CNVD建议用户及时下载补丁进行更新，参考链接：
　　Linux：http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw
　　Android：https://source.android.com/security/bulletin/2018-01-01
　　Microsoft：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
　　Amazon：https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013
　　ARM：https://developer.arm.com/support/security-update
　　Google：https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
　　Intel：https://newsroom.intel.com/news/intel-responds-to-security-research-findings
　　Red Hat：https://access.redhat.com/security/vulnerabilities/speculativeexecution
　　Nvidia：https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754
　　Xen：https://xenbits.xen.org/xsa/advisory-254.html
　　三是进一步加强关键信息基础设施网络安全防护工作，加强网络安全防护和威胁情报收集工作，发生网络安全事件及时向市网信办报告。
　　上海市网信办将持续关注该漏洞的发展情况并酌情采取进一步的应对措施。

源自：“网信上海”微信公号

</p>

源自：界面

---

　　英特尔回应芯片漏洞：受影响的可能不止英特尔，正与其他厂商合作解决

　　在英特尔发布声明后，AMD和ARM都表示将积极与合作伙伴防止安全漏洞出现，不过均没明确承认自己的新品有所缺陷。
　　李竞择

Ho-3-fyqinct9466458.jpg  保存到相册

上传时间: 2018-1-4 11:26

文件大小: 67.95 KB

下载次数: 8

点击文件名下载图片

 

　　北京时间1月4日，英特尔针对其CPU中存在设计缺陷和安全漏洞一事发表官方声明，其中提到媒体针对此事的报道并不准确，其正与AMD及软件厂商合作解决此问题。同时也表示其他公司的芯片也存在相同问题。
　　本周，外媒The Register在报道中提到，英特尔芯片存在一处严重安全漏洞，而修正这一缺陷的补丁软件会影响到芯片性能。消息传出后，英特尔股票在周三开市前下跌2%，其老对手AMD的股票则在开市前大涨7%。
　　英特尔称，他们计划在下周推出更多的软件补丁时披露该漏洞，但由于媒体报道不准确，不得不在今天发表声明。
　　在声明中英特尔提到：“今日媒体报道称这一安全问题是由一处‘缺陷’引起的，而且仅影响英特尔芯片的说法不正确。基于目前分析，许多类型的计算设备（包括许多不同厂商的处理器和操作系统）都容易受到这些漏洞的攻击。”
　　英特尔目前已经开始提供软件和固件更新，以减轻这些漏洞。
　　但一些报告认为，这个芯片级安全漏洞的修补程序不是很完善，完成了修复，也会对性能造成严重的影响，甚至有人预测“可能导致5%到30%的性能下降”。
　　英特尔对这个言论做出了反驳，他们认为任何性能影响都由工作负载决定，对于一般用户来说，并不显著，并且会随着时间的推移得到缓解。
　　英特尔还提到，目前正与包括AMD、ARM和操作系统供应商在内的其他几家技术公司合作，“开发一种适应于全行业的方法”，以便“迅速并具有建设性地解决问题”。
　　在英特尔发布声明后，AMD和ARM都表示将积极与合作伙伴防止安全漏洞出现，不过均没明确承认自己的新品有所缺陷。
　　与此同时，微软公司今日表示，已发布Windows更新防止这一芯片层面的安全漏洞被利用，并且正在为云服务开发更新。
　　英特尔声称自己的产品是“世界上最安全的”，而且目前的修补程序为客户提供了“最好的安全措施”，同时英特尔建议用户尽快安装操作系统更新。