晶片廠漏洞事件總整 最新升級蘋果、微軟、Goolge認證先救新機
▲intel目前已經攜手國內外科技廠釋出首波安全更新,intel 預計至下週末,最新更新預計解決過去5年內推出90%以上處理器產品的安全疑慮。(圖/記者洪聖壹攝)
記者洪聖壹/綜合報導
針對日前外媒踢爆的intel晶片重大安全漏洞,除了Microsoft、Linux、Apple 和 Google 都開始釋出更新來解決問題外,intel 在證實這項消息之後不到 24 小時內,也針對各系統的電腦與伺服器發佈一項更新,並已經獲得 Apple、Microsoft、Amazon與Google等四家公司測試認同,證實不會因爲更新而降低系統效能。
這絕對不是危言聳聽,不過也不用太過焦慮,目前所有科技大廠都已經有初步對策。在前篇報導「Intel認了CPU安全漏洞問題...AMD、ARM等所有電腦都中招」當中,intel坦承晶片設計上有安全漏洞的疑慮,但否認這項漏洞會因爲系統更新而降低效能,同時也表達正與AMD、ARM 控股和多家操作系統供應商在內的技術公司緊密合作,以即時和有效的解決這個問題,在這同時,intel 已經開始提供相對應的軟體與韌體更新,藉此降低這些漏洞的安全風險。而即使 AMD 聲稱自家設備安全無風險,並表示會釋出安全更新,然而外媒認爲AMD不可能、也該這麼樂觀,而且已經有測試報告指出,AMD 的產品確實可以因爲這漏洞而被入侵。
這些聲明都意味着,全世界的電腦都有這個重大安全漏洞的疑慮。而後續 Google Projet Zero 的報告進一步指出,這項安全漏洞主要有「Meltdown」和「Spectre」兩個。Meltdown 是編號爲 CVE-2017-5754 的漏洞,可讓駭客以系統管理員的身份,存取電腦內的應用程式與作業系統所用到的某些記憶體,這方面主要是 intel 處理器的問題。
至於另一個 Spectre 是編號 CVE-2017-5753 與 CVE-2017-5715 兩個漏洞的總稱,可讓駭客以系統權限獲取處理器的電腦當中,核心記憶體內的資料,這包括個人密碼、登入密碼等等,即使 intel 強調這問題駭客並無法修改這些資料,然而這項漏洞卻可以讓駭客得以在使用者不知不覺當中,入侵個人電腦,作出更大的破壞,而這個安全漏洞問題就很大條,影響的公司還橫跨 Intel、AMD及ARM三家公司所生產的系統晶片,換句話說,幾乎全世界的電腦,都會有安全層級上的問題,這也是爲什麼這次的事件被視爲重大安全層級上的問題。
▲Google Project Zero 團隊率先發現「Meltdown」和「Spectre」兩個安全漏洞,並在第一時間向 intel 發出警告。(圖/記者洪聖壹攝)
除了電腦廠商該擔心外,行動設備廠也出問題,由於ARM的Cortex-A晶片也有這方面的疑慮,而Cortex-A目前廣泛應用於手機處理器平臺,這包括高通、聯發科、三星、華爲生產的行動晶片,而這整起事件則是因爲Apple公司的一項公開聲明造成恐慌。Apple 公司向外媒迴應,不只所有的 Mac 設備,iOS 設備已經受到“Meltdown”和“Spectre”安全漏洞的威脅。Google Project Zero 團隊也在一份報告當中,明確說明 Android 設備也受到威脅。
對此,率先發出聲明的 Microsoft、Linux 和 Google,依序宣佈釋出安全更新。微軟除了針對 Surface 進行安全性更新,也已經於美國時間 2018 年 1 月 3 日在最新的 Windows 10 系統發佈了「KB4056892」更新檔,用戶可直接透過系統設定的 Windows Update 下載。至於蘋果mac OS 則已經在 2017 年 12 月釋出 macOS 10.13.2 更新來修補安全漏洞。至於 Google 公司在最新聲明當中,口徑與 intel 一致,並已經針對YouTube、Google Ads、Chrome 等應用內容推出相對應的防範措施,同時針對 Android 推出安全修補更新。Mozilla 也推出了 Firefox 57 來解決相關漏洞。至於 Linux 系統方面,亦已經發放 KAISER 修正檔案。
▲微軟已於美國時間 2018 年 1 月 3 日在最新的 Windows 10 系統發佈了「KB4056892」更新檔。(圖/記者洪聖壹攝)
不會再發生「晶片召回事件」
對此,intel CEO 科再奇(Brian Krzanich)接受外媒訪問時指出,Meltdown 和 Spectre 比起 1994 年的 FDIV 容易解決,強調這兩個安全問題並沒有外界解讀得這麼嚴重,而且 intel 很早之前就已經跟合作廠商攜手解決這項問題,並強調這次的事件,並強調不會對晶片進行召回的舉動。
簡而言之,這次發生的問題影響的層面包括 Windows、Linux、macOS、亞馬遜AWS、Android 系統、iOS 系統跟 ChromeOS等所有裝置,雖然各家廠商聲稱可在最新的系統更新之後獲得解決。然而真的是安全無慮嗎?其實並不然,外媒引述多項研究報告指稱,新的作業系統更新將會影響到整個裝置效能。
首波「不影響效能」的安全更新只搶救過去5年內「9成設備」
對此,intel 在 1 月 5 日的最新聲明當中表示,已經針對過去 5 年當中的大多數處理器產品發佈更新,藉此避免 Google Project Zero所報告的 Spectre 和 Meltdown 兩種漏洞,預計至下週末,intel 發佈的更新預計將包含過去5年內推出90%以上的處理器產品。
intel 再次強調,這些更新對不同工作負載的性能影響也會不一樣。對於一般的電腦使用者來說,影響並不顯著,而且會隨着時間的推移而減輕。雖然對於某些特定的工作負載,軟體更新對性能的影響可能一開始相對高,但隨着採取後續進一步的優化工作,包括更新部署後的識別、測試和軟體更新改進,「應該」可以減輕這種影響,建議所有用戶能夠啓用作業系統以及其他電腦軟體的自動更新功能,以確保其系統是最新版本。
對此,包括Apple、Amazon、Google和微軟都已評估並且報告結果,相關聲明整理如下:
Apple:「我們的GeekBench 4效能基準測試(benchmark)以及Speedometer、JetStream和ARES-6等常見的Web瀏覽效能基準測試結果,2017年12月的更新沒有顯著降低macOS和iOS的效能。」
Microsoft:「絕大多數Azure客戶不會感受到此次更新對效能的影響。我們已經將CPU和硬碟I/O路徑最佳化,在更新後並未看到對效能產生明顯的影響。」
Amazon:「我們並沒有觀察到這對絕大多數EC2工作負載的效能有產生實際的影響。」
Google:「在包括雲基礎架構(cloud infrastructure)在內的大多數工作負載上,我們看到對效能的影響可謂是微乎其微。」
不過這整起事件,最大的問題仍然是發生在 intel 於 1995 年到 2013 年推出的舊款處理器,也就是說市場上超過 5 成以上的老舊電腦,都有這樣的危機,而微軟這次發佈的更新,也是針對 Windows 10 系統,針對 Windows 7、XP 等系統並未做出進一步的迴應,也就是說這首波更新後,多數電腦仍有安全層級上的疑慮。
強烈建議用戶進行更新
總而言之,如果你的設備是近期纔剛購買,那麼恭喜你,可能目前的最新安全更新可以幫助你避免駭客攻擊,個人私密資料也可以被很安全的保護着。至於效能方面,intel 指出,這些更新對效能的影響,很大程度取決於具體的工作負載。對於一般的電腦使用者來說影響並不顯著,並會隨着時間的推移而減輕。