高危級別芯片漏洞 堪比“千年蟲”

李云杰

今年新年剛過，爆出了幾乎席卷整個IT產業的芯片漏洞事件，讓人們剛剛放松的神經緊張起來。

根據國內外媒體的披露，事件的來龍去脈是這樣的：2017年，Google旗下的ProjectZero團隊發現了一些由CPU Speculative Execution引發的芯片級漏洞，“Spectre”（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（變體3：CVE-2017-5754），這三個漏洞都是先天性質的架構設計缺陷導致的，可以讓非特權用戶訪問到系統內存從而讀取敏感信息。

Project Zero安全團隊的一名成員在2017年6月1日向英特爾和其他芯片生產商告知了這些漏洞的情況。而直到2018年1月2日，科技媒體The Register在發表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機。

芯片安全漏洞爆出后，引起了媒體和業界的廣泛關注：不但將在CPU上市場份額占絕對優勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔憂。

人們不禁要問，芯片漏洞問題早已發現，為什么到現在才被公布？是英特爾有意隱瞞嗎？

延期公布，

為應對方案贏得了時間

從媒體披露的情況來看，1995年以來大部分量產的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統。雖然是以英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細節的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、云服務器等終端設備都受上述漏洞的影響。應該說，這是跨廠商、跨國界、跨架構、跨操作系統的重大漏洞事件，幾乎席卷了整個IT產業。

《華爾街……