一个不可怕
可怕的是全部
昨天小黑胖在大新闻里面写了一个爆炸性的消息,不知道差友们有没有注意到。。
跟往常不一样的是,往常我们熟知的都是操作系统的漏洞,譬如 Windows ,经常爆出漏洞,WannaCry 病毒就是利用它的漏洞锁住文件,勒索比特币的。。
但这次,漏洞是硬件层面的,也就是 CPU 的架构设计有问题。。
更丧病的是,这样核弹级的安全漏洞同时爆出来了两个!
一个是漏洞叫 “ Meltdown ”,另一个漏洞是 “ Spectre ”。
Meltdown 漏洞这个是 Intel 系列专属,它能够让普通程序进程绕过安全防护,访问到内存上操作系统核心信息,这个核心里面原本一直被认为是绝对安全的,所以许多用户密码等敏感信息都在上面裸奔。。
通过 Meltdown 漏洞普通程序就能获得好多东西,这应该是每个黑客的梦想。。
让所有人换电脑 CPU 显然不现实,只能从操作系统入手,用软件来尽量堵住这个漏洞。。
所以,从手机到电脑的操作系统厂商们,都纷纷推出解决方案。。
不过这个原本就是因为 CPU 追求性能埋下的地雷,要填上这个坑只能再牺牲一下性能了。。
你要问更新操作系统,对电脑有没有性能有影响的话,差评君可以很负责任的说,一定会下降!
根据网上人们的测试来看,打了补丁,对性能影响比较大的是 Intel 1995 年到 2013 年的老处理器,从 Skylake 这一代之后就几乎察觉不到了。
普通人的电脑一般也不会体验出什么差别,因为一般办公玩游戏都达不到 CPU满负载运转,趁着黑客还没有开发这个漏洞,乖乖打个补丁就好了。。
最惨的还是云计算提供商,本来前两天 NVIDIA 这边刚禁用 GeForce 系列显卡跑深度学习,估计要大出血换 Tesla 显卡,现在又跑出这个 CPU 架构问题。。
云计算这边的主机都是一个个服务器,性能特别强,所以每个服务器会将自己的计算能力分成一个个小块卖给不同的人,每一份都装上不同的虚拟机,最常见的就是 Linux 系统。。
某厂不同的云服务器
看起来好像大家分开了,实际上有可能十几个人都用的同一个主机。
假如同一个机子 A 和 B 在共用,出了这个漏洞以后,A 可能利用这个安全漏洞,就能拿到内核上 B 的信息,譬如一些网站密码之类的。。
这就很恐怖了。。
为了保证客户数据安全,必须对操作系统进行更新。。不幸的是,因为大家租用服务器很多就是用来跑数据库啥的,那真的是对 CPU 性能依赖的很,一下子给降个 20% ,够云计算服务商喝一壶的。。
腾讯云已经发了更新公告
另一个安全漏洞是 “ Spectre ”,它利用处理器的分支预测特性,有可能骗取CPU 执行本不应该执行的动作,获得本来不应该获取的信息。。
因为现在处理器能大幅上升,很大一部分原因是运用了这个预测技术。
它用一种乱序执行的方式,提前做了好多事,所以才能给人一种快的感觉。。
因为是预测,所以它有可能执行了本不应该执行的命令,也就有可能把本来隐秘的信息泄露出来。。
这个漏洞可就牛了,它几乎影响了 Intel 、AMD、ARM 家大部分 CPU 芯片。所以,几乎所有的手机、电脑、甚至嵌入式设备都逃不掉。。
ARM Cortex-A 系列都躺了
至于对安卓手机的影响,Google 方面说他们在去年发现漏洞了之后就积极解决问题,如果安卓系统更新到最新版,就没有问题了。。
可是,按照国内各大手机厂商深度定制系统的尿性,不知道安卓的这波儿更新哪辈子才能推送到某为、某米上。。
用国产机的差友们默默为自己心疼一秒。。
不知现在这些厂家是不是默念哔了狗。。
当然拿着苹果机的差友们也不要太高兴,因为苹果家 CPU 也用的是 ARM Cortex-A 系列架构,所以,是的,你们也有同样的问题。。
乖乖等着 iOS 更新吧。。
你想问有没有不受影响的设备,有啊 ↓
哦,对了,AMD 说这个漏洞也对自家的产品影响不明显,不知道是不是真的。。
Intel 家看到自己的股票下跌,很不开心。。赶紧出了份声明。。
但是这份声明大概是,“ 我不好,你们也别想好!”
其中有段话是这么说的。。
翻译成人话,就是:芯片就是这么设计的,它就是有泄漏风险。除了我家,还有 other technology companies(其他厂家)呢,别老让我一个人背锅。
然而实际上,风险最大、黑客操作最容易的 “ Meltdown ” 漏洞几乎只有 Intel 一家有(Intel 家也有没有这个漏洞威胁的产品:Itanium系列和 2013 年之前的 Atom)
另外一个“ Spectre ” 漏洞虽然 Intel、AMD、ARM 无一幸免,但是这个漏洞黑客很难利用,成本很高,跟 “ Meltdown ” 根本不在一个等级上好吧,有点脑子的黑客都会优先利用 “ Meltdown ” 。。。
而且它在声明中居然不仅不道歉,因芯片设计问题给大家带来风险,反而理直气壮的说有这个漏洞就是因为正确的按照设计执行。。Excuse me??
它还有一段话是这么说的:
呵呵呵,翻译过来意思是:Intel 相信黑客不会利用这个漏洞去破坏,修改或者删除数据。
请问,哪个黑客偷你的密码还顺便删你报表、改你 PPT?
Intel 还表达了一下对报道这个消息的媒体不满。。
翻译过来:本着负责任的态度,我们 Intel 本来计划在下一周公布这个事情。但没想到半路杀出来一个程咬金 The Register(第一个将这件事情报道出来的媒体),把我们的计划都打乱了!现在矛头都在我身上,我不干我不干!
估计本来想着打点好了,偷偷出个声明,顺便把所有厂家都拉来挡子弹的吧,结果 The Register 一闹大家都知道了,硬生生的把股票砸出一个坑。。
当然,Intel 声明的最后还不忘补充一下:
翻译:Intel 相信自家的产品是世界上最安全的产品,通过和合作商合作,目前的解决方案对顾客来说就是最安全的解决方案。
最安全的方案难道不是把每个有缺陷 CPU 都召回,然后换个没缺陷的版本么?你敢么?
心疼那些给你擦屁股的各大操作系统厂商。。
当然,这不是 Intel 最恶心的一波操作。
去年年底,在这个消息被媒体报道出来之前,Intel 的 CEO 科再奇抛售了大概 1100 万美元的 Intel 股票,手中只留下雇佣协议里要求的最低持股数量 25 万股。。
贱就一个字,我只说一次
当然,今天早些时候科再奇否认了抛售股票和这次漏洞有关。。
信你才有鬼了,11月 Windows 开始补丁内部测试,你就知道离事件公布不远了吧~
这件事情爆发以后,果不其然,AMD 股票涨了。。
农企日常翻身。。。
各大云计算服务商,也都长点心,别都吊在 Intel 一颗树上,万一这个树折了就全完了。。
最难受的应该就是作为用户的我们了,大几千买个好 CPU 还出这种事,找谁说理去?
“ 没想到吧,挤出来的牙膏还会吸回去! ”
评论前必须登录!
注册