芯片漏洞堪比“千年虫”，如何顺利解决？

根据国内外媒体的披露，事件的来龙去脉如下:

2017年，Google的ProjectZero团队发现了一些CPU投机执行导致的芯片级漏洞。“幽灵”(变体1和变体2: CVE-2017-5753和CVE-2017-5715)和“熔毁”(变体3: CVE-2017-5758)。

2065438年6月1日，Project Zero安全团队的一名成员向英特尔和其他芯片制造商通报了这些漏洞。直到2018，1年10月2日，科技媒体The Register在一篇文章中曝光了上述CPU漏洞，才让芯片安全漏洞浮出水面，让英特尔陷入了一场突如其来的危机。

芯片安全漏洞爆发后，引起了媒体和业界的广泛关注:不仅让在CPU上占有绝对市场份额的英特尔被抛入舆论漩涡，也引起了大家对安全问题的关注。人们不禁要问，芯片漏洞的问题早就发现了，为什么直到现在才公布？英特尔是不是故意隐瞒？

推迟出版为准备应对计划赢得了时间。

据披露，1995以来的大部分量产处理器都可能受到上述漏洞的影响，并涉及大多数通用操作系统。

虽然它由英特尔主导，但大多数主流处理器芯片如ARM、高通、AMD等。也受到漏洞的影响，IBM POWER的详细处理器也是如此。Windows、Linux、macOS、Android等主流操作系统，以及使用这些芯片的电脑、平板、手机、云服务器等终端设备都受到上述漏洞的影响。

应该说这是一次跨厂商、跨边界、跨架构、跨操作系统的重大漏洞事件，几乎席卷了整个IT行业。

报道称，在Project Zero安全团队于2017年6月1日向英特尔和其他芯片制造商通报该漏洞后，英特尔一直在努力联合其他主流芯片制造商、客户和合作伙伴，包括苹果、谷歌、亚马逊和微软，来解决这一问题。由大型技术公司组成的联盟正在合作研究和准备解决方案。

据报道，联盟成员达成保密协议，延迟披露，研发解决方案，确保在漏洞公布后“做好准备”。也有说原计划在65438年10月9日公开，但因为科技媒体The Registe在65438年10月2日曝光了芯片漏洞，英特尔等公司提前发布了相关公告。

芯片漏洞曝光后的第二天，65438年10月3日，英特尔发布了最新的安全研究成果和英特尔产品说明，公布了受影响的处理器产品名单。

65438+10月4日，英特尔宣布，在与工业合作伙伴部署软件补丁和固件更新方面取得了重大进展。英特尔已经发布了过去五年推出的大多数处理器产品的更新，到本周末，发布的更新预计将覆盖过去五年推出的90%以上的处理器产品。

随后，微软、谷歌等大型科技公司相继发布针对漏洞的解决方案，表示正在或已经为其产品和服务提供更新。

微软发布了一个安全更新程序，以保护使用英特尔和其他公司芯片的用户设备。苹果确认所有Mac系统和iOS设备都受该漏洞影响，但已发布防御补丁；谷歌表示，已经更新了大部分系统和产品，增加了针对攻击的保护措施；高通表示，正在为受最近曝光的芯片级安全漏洞影响的产品开发安全更新。

有网络安全专家认为，虽然该漏洞影响范围广，普通用户不必过于恐慌，但受影响较大的将是云服务提供商。大多数云服务厂商也公布了他们的解决方案和时间表。

阿里云:虚拟化底层将于65438年6月+10月12日上午1进行热升级更新。

腾讯云:硬件平台和虚拟化平台将于065438+6月5438+10月10上午0: 00-05: 00进行后端修复。腾讯云安全团队会单独通知少数不支持热升级模式的服务器。

百度云:分虚拟机和物理机两级修复，2018 12零点热修复升级。

华为云:正在分析漏洞，正在跟进主流操作系统发布的补丁。

AWS:新服务器默认有补丁。

AI商业认为，幸好没有一发现漏洞就公布。否则，在没有应对方案的情况下宣布，会引起更大的安全担忧或恐慌。然而直到现在，英特尔、微软等各大厂商都做了充分的准备，陆续发布了补丁和更新。

芯片漏洞堪比“千年虫”，大家需要“在一起”

在整个IT发展史上，随着技术的发展而暴露出来的计算机软件或设计漏洞可以说是一个不可避免的现象。因为技术在发展，黑客技术也在发展。很多年前没有发现漏洞，但很多年后可能会发现。信不信由你，漏洞可能是有的，只是还没人能发现。

一旦发现漏洞，只有积极处理，才能避免损失，防患于未然。

芯片是整个信息系统的“心脏”和核心。要解决这样一个芯片级的、前所未有的、涉及面极其广泛的、高风险的重大安全漏洞，难度系数可想而知！

这不是领先的芯片厂商英特尔能解决的，也不仅仅是英特尔、ARM、AMD等芯片厂商要积极应对的问题。而且从英特尔、微软等厂商公布的信息来看，还不能说漏洞问题已经完全解决。幸运的是，到目前为止，还没有被攻破的实际案例，所有公司都表示没有发现利用上述漏洞发动攻击的证据。

艾商认为，此次芯片漏洞事件堪比当年的“Y2K bug”问题，已经成为“一损俱损”的全行业事件，需要整个产业链的密切配合和* * *的解决。如果解决得好，大家都会化险为夷，万一发生安全攻击，受损的不仅仅是英特尔或者任何一家厂商，而是整个行业。

这不仅让人想起当年全行业“集体”应对“千年虫”问题的场景。

“Y2K bug”是程序处理日期上的bug。由于年份只用两位小数表示，当系统进行跨世纪日期处理操作时，会出现错误的结果，导致各种系统功能紊乱，甚至崩溃。

20世纪90年代末，计算机2000年问题引起了许多专家的广泛讨论。可能会造成飞机撞机、船舶偏航、证券交易所崩盘等问题。一旦出错，后果不堪设想。

Y2K问题之所以基本顺利通过，离不开政府和全行业的重视和大力修复，当然也离不开媒体铺天盖地的宣传。即便如此，少数落后国家对其重视不够或缺乏资金和技术，导致了千年虫的爆发和一些政府机构及电力系统的瘫痪。

因此，艾商认为，相关厂商、用户和政府部门应该拿出过去处理“千年虫”问题的态度，积极应对，防患于未然。

第一，要密切跟踪漏洞的最新情况，及时评估漏洞的影响。二是及时跟踪测试芯片厂商、操作系统厂商、安全厂商发布的补丁，制定修复工作计划，及时更新安装。

我们相信，只要齐心协力，积极应对，芯片漏洞问题终将是一场“虚惊”。