Intel CPU曝出的“Spectre”和“Meltdown”底层漏洞已经演化为一场全球性的安全事件,虽然他们的攻击基于实验室完成,尚未造成公共损失,但背后暗藏的一些问题还是发人深思的。
今天中午,TPU撰文重点谈到了“Coffee Lake”处理器,也就是8代酷睿。
报道称,谷歌表示上述漏洞自己的Project Zero团队早在去年6月就告知了Intel方面,而Coffee Lake是今年9月发布、10月上市的,也就是获悉漏洞之后,可上市推广期间,Intel对此只字未提。
事实证明,“Spectre”和“Meltdown”同样影响到了Coffee Lake处理器,安全研究人员Longhorn在推特表示,Intel吃官司应该是跑不掉了。
同时,有评论认为,Intel对于Skylake/KabyLake/Coffee Lake等几代处理器,可能还需要更进一步的微代码更新(最终会转化为BIOS更新),简单的OS层面补丁并不能彻底解决。
另外一个讽刺的事情是,Intel CEO在此次漏洞规模性爆发之前,抛售了价值2200万美元的股票,而Intel股票这两天是跌跌不休,他的动机现在也被媒体怀疑。
根据某国产杀软的初步研究,该类型漏洞属于CPU设计逻辑缺陷,很难进行修复,目前常见的KPTI(内核页表隔离)补丁将造成最少5%的性能损失。
最后,Intel声称打完补丁后,其产品对“Spectre”和“Meltdown”都将具备免疫能力,但最早曝出漏洞的英国媒体TheReg今天强调,Spectre(幽灵)远比想象中棘手,可能要数年修复。