CPU“漏洞门”让英特尔被集体诉讼,市值蒸发200亿美元

发布时间:2018-01-16 00:00
作者:
来源:中国经营报
阅读量:1348

自美国科技博客The Register于2018年1月2日率先披露由CPU Speculative Execution引发的芯片级安全漏洞Spectre(中文名“幽灵”,有CVE-2017-5753和CVE-2017-5715两个变体)、Meltdown(中文名“熔断”,有CVE-2017-5754一个变体)以来,英特尔、ARM、AMD、苹果、IBM、高通、英伟达等都已承认自家处理器存在被攻击的风险。

尽管由CPU底层设计架构引发的此次安全“漏洞门”事件,波及到几乎所有的芯片厂商,但全球芯片业“老大”——英特尔成为最显著的输家。记者注意到,英特尔的股价已经由1月2日的46.85美元/股下跌至1月11日的42.50美元/股,市值缩水204亿美元。又观英特尔的竞争对手AMD,该公司股价已经从1月2日的10.98美元/股涨至1月11日的11.93美元/股,涨幅接近10%。

英特尔等芯片厂商、微软等操作系统厂商、苹果等终端厂商应对此次CPU安全“漏洞门”的措施均指向“打补丁”。英特尔中国相关发言人1月10日在电话和邮件中告诉记者,“(2017年)12月初我们开始向OEM合作伙伴发布固件更新。我们预计(过去)一周内发布的更新将覆盖过去5年内推出的90%以上的英特尔处理器,其余的将在(2018年)1月底前发布。此后我们将继续发布其他产品的更新。”该发言人强调英特尔“不会进行芯片召回”。

“漏洞门”被提前泄露

此轮CPU“漏洞门”被誉为“千年虫”之后计算设备发展史上最大的安全漏洞。

什么是“千年虫”?也就是计算机2000年问题。因为以前计算机内存比较小,年份都是用两位数表示,比如1980年就是80,到1999年,80年出生就是99-80=19岁,但是在2000年,变成00-80=-80岁了,这就是所谓的“计算机2000年问题”。

此次CPU“漏洞门”又是怎么回事?华为一位技术专家告诉记者,人们向计算机发出的指令分为正常可被执行、异常不被执行两种,按照最初的架构设计,异常不被执行的指令会留在缓存里面,同时被认为不会留下任何痕迹,所以即使这些指令可以看到内存机密信息也没关系,但现在已证实这些指令还是在曾经访问过的内存里面留下蛛丝马迹,并且可以被攻击者利用,从而导致用户敏感信息泄露。

谷歌旗下的Project Zero(零项目)团队率先发现了由CPU Speculative Execution引发的这些芯片级漏洞,并将之命名为Spectre(幽灵)和Meltdown(熔断),并通过测试证实了Spectre(幽灵)影响包括英特尔、AMD、ARM等在内的众多厂商的芯片产品,Meltdown(熔断)则主要影响英特尔芯片。

“这些漏洞是谷歌公司的Project Zero团队最初在2017年6月向英特尔、AMD、ARM公司通报的。因为这些安全风险涉及各种不同的芯片架构,所以在获得Project Zero团队通报并对问题予以验证之后,英特尔、AMD、ARM等厂商迅速走到一起,并由谷歌牵头签订了保密协议,同时在保密协议的约束下展开合作,从而保证在约定的问题披露期限(2018年1月9日)到达之前找到解决问题的方案。”英特尔中国相关人士告诉记者。

不仅是谷歌的Project Zero团队,在2017年下半年又有数位研究者独立发现了这些安全漏洞。“这些研究者得知这些安全问题已经由Project Zero团队向芯片厂商做出通报,产业界正在合作,加紧开发解决方案之后,也同意在产业界协商同意的披露时间点(2018年1月9日)之前对他们的发现予以保密。”英特尔中国相关人士表示。

但随着披露时间点(2018年1月9日)的临近,此次CPU安全“漏洞门”还是在2018年1月2日被提前披露。谷歌随后2018年1月3日也披露了相关情况——Project Zero团队在2017年6月1日向英特尔、AMD、ARM通报了Spectre,2017年7月28日又向英特尔通报了Meltdown。

抱团应对

尽管与“千年虫”类似,此次CPU安全“漏洞门”的根本原因是底层架构设计造成的,但问题被披露以后,舆论的矛头主要指向了英特尔。

一位业内人士在接受记者采访时认为,一方面是因为Spectre和Meltdown两个漏洞都涉及到了英特尔,另一方面是因为英特尔是全球芯片行业的“老大”,其产品覆盖面、受影响的用户群体无疑是最大的。

对于CPU安全“漏洞门”被媒体定义为英特尔芯片安全“漏洞门”,英特尔方面颇感委屈。记者2018年1月3日收到的《英特尔关于安全研究结果的回应》称,这些安全漏洞“不是英特尔产品所独有”。1月4日,英特尔发布更新声明,表示“英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末(1月14日),英特尔发布的更新预计将覆盖过去5年中推出的90%以上的处理器产品。”

根据美国《俄勒冈人报》报道,英特尔CEO柯再奇在1月8日还向员工发送了一份备忘录,表明该公司将建立新的“英特尔产品保证和安全”部门,加强安全工作。柯再奇在1月9日的CES 2018开幕演讲中再次强调,“在本周内,修复更新将覆盖到90%的近5年产品,剩余的10%也会在1月底前修复。”

在英特尔之后,AMD、ARM、高通、英伟达、苹果、IBM等厂商也陆续承认了此次“漏洞门”对自家的产品有影响,并表示可以通过系统补丁更新进行解决。

比如,ARM在公开声明中表示“许多Cortex系列处理器存在漏洞”;AMD官方声明承认部分处理器存在安全漏洞;IBM表示“谷歌公布的芯片潜在攻击隐患对所有微处理器都有影响,包括IBM Power系列处理器”;高通表示,“针对近期曝光的芯片级安全漏洞影响的产品,公司正在开发更新”;英伟达声称,该公司部分芯片被Spectre影响,可以引发内存泄露。上述公司在承认受到“漏洞门”影响的同时,也都表示正在或者已经开发安全补丁,以提升受影响芯片的安全水平。

不仅是芯片厂商,微软、谷歌、苹果等操作系统及终端厂商,也陆续加入为用户“打补丁”的行列。比如,苹果在官方网站承认“所有的Mac系统和iOS设备都受影响,但到目前为止还没有利用该漏洞攻击消费者的实例”;苹果还声称,“将更新Safari以防范攻击,同时也在对两种漏洞进行进一步的研究,将在iOS、macOS以及tvOS更新中发布新的解决方案。”

现集体诉讼

尽管芯片厂商、操作系统厂商、终端产品厂商都在尝试用“打补丁”的方式解决此次CPU安全“漏洞门”危机,但消费者对产业界的应对方式并不满意。

根据美国科技新闻网站Engadget报道,因为CPU安全“漏洞门”事件,英特尔在美国已遭遇三宗诉讼,且全是集体诉讼。Engadget认为,这意味着受到损害的更多消费者可以加入原告队伍进行索赔。目前还未爆发针对AMD等其他厂商的诉讼事件。

简单来说,消费者起诉英特尔的原因主要有两个层面,一是时隔半年之后才披露安全隐患,二是“打补丁”会影响自己电脑的性能表现。

对于延期披露的问题,英特尔中国相关人士表示,这是在为积极应对争取时间,从得知漏洞存在到如今的6个月,英特尔一直在联合其他厂商加快寻找问题解决之道,“一个由大型科技公司组成的联盟已经展开合作,研究并准备应对方案”。

对于影响设备性能的问题,外媒援引一名开发人员的说法称,对CPU内核进行的修补将影响所有的操作系统工作,大部分软件运行将出现“一位数下滑”(即10%以下),典型性能下降幅度为5%,而在联网功能方面,最糟糕的性能下降幅度为30%。也就是说,通过“打补丁”解决安全“漏洞门”,将导致计算设备性能下降5%~30%。

但英特尔方面在邮件中坚持认为,“Meltdown和Spectre两个CPU漏洞不会对电脑性能产生太大影响”,该公司“SYSmark测试显示,‘打补丁’之后的CPU性能降幅大约为2%~14%”。

事实上,记者注意到,英特尔和AMD等厂商在过去发生过多起CPU Bug事件,比如1994年发现的奔腾FDIV Bug、1997年发现的奔腾FOOF Bug事件、2008年发现的英特尔ME漏洞等,以及AMD的Phenom(弈龙)TLB Bug、Ryzen(锐龙)Segfault Bug等。其中英特尔奔腾FDIV Bug是一个不折不扣的缺陷,最初英特尔并不重视,只决定为部分被证明受影响的用户更换CPU,后来迫于舆论和市场压力,英特尔召回了所有受影响的CPU,当时损失高达4.75亿美元。后来被发现的多起CPU Bug事件,英特尔和AMD都是通过“打补丁”的方式来解决问题的。

针对此次安全“漏洞门”,英特尔会不会召回自家芯片?英特尔中国相关发言人援引柯再奇的公开说法称,Meltdown和Spectre要比1994年的奔腾FDIV容易解决,而且英特尔已经开始在解决这些漏洞,因此英特尔“不会召回受Meltdown和Spectre漏洞影响的芯片产品”。

(备注:文章来源于网络,信息仅供参考,不代表本网站观点,如有侵权请联系删除!)

在线留言询价

相关阅读
英特尔代工业务受阻,传3nm订单委托给台积电代工!
  英特尔已决定将其3纳米以下芯片的生产委托给台积电。  在“IFS Direct Connect 2024”会议上,英特尔CEO基辛格表示,英特尔将把其处理器的核心部分交给台积电生产。在全球半导体制造的舞台上,3纳米工艺被视为继5纳米之后的下一个关键节点。英特尔、三星和台积电这三大巨头均已宣布了各自的3纳米研发和量产计划。三星在其3纳米工艺中采用了GAAFET技术,而台积电和英特尔开展合作。  先前就有消息称英特尔已将3nm以下制程全面委由台积电代工,并进行全球裁员15%计划,力求扭转颓势。惟业界透露,英特尔裁员锁定以晶圆代工业务对象为主,但为维系台芯片厂生产业务,中国台湾分公司未受波及。  英特尔对晶圆代工仍有所坚持,7月时英特尔开始向IC制造业者发布18A制程设计套件(PDK)。但近期传出,博通对英特尔18A可行性感到担忧,给出不适合量产的结论,博通发言人则表示,「正在评估英特尔代工厂的产品和服务,但尚未得出评估结论」。业者指出,博通与台积电合作多年,尤其在进入7nm以下先进制程,可望赢者通吃,并稳居前十大客户之列。  观察英特尔最新一季财报,晶圆代工业务亏损扩大至28亿美元,营业利润率为-65.5%;公司也坦言,Intel 3、Intel 4制程于爱尔兰工厂扩大产能均对获利形成压力。显见技术突破与量产实力于半导体界存有相当挑战。  英特尔进行降本增效,并积极推动转型。预计2025年节省100亿美元成本、出售部分业务,更停发股息、为30年来首见,另外全球拓点脚步也放缓。半导体业者强调,英特尔需要减少一切不必要支出,将宝贵资源投入到核心芯片业务之中。  业界指出,现今高度专业化的芯片产业分工格局,技术先进只是基础条件,即时服务客户更是首要条件。
2024-09-10 13:19 阅读量:485
英特尔或出售Altera!
英特尔发布新一代数据中心处理器
  著名的半导体公司英特尔正式发布了备受期待的第六代至强服务器处理器,旨在 reconquer 数据中心市场份额。同时,公司还透露,其新推出的 Gaudi 3 人工智能加速器芯片价格将明显低于竞争对手的产品。  据行业分析机构Mercury Research的数据显示,英特尔在x86芯片数据中心市场的份额在过去一年中下滑了5.6个百分点,降至76.4%,而其主要竞争对手超微半导体公司(AMD)的市场份额则上升至23.6%。这一趋势对英特尔来说无疑是一个严峻的挑战,因此,第六代至强芯片的发布被看作是英特尔重振数据中心业务的关键一步。  新一代至强处理器分为两种主要型号:一种是高性能版本,旨在处理复杂的人工智能模型和对计算能力要求极高的任务;另一种是“效率”型号,该型号被设计为老一代芯片的替代品,专注于服务媒体、网站和数据库计算等应用。英特尔首席执行官帕特·基辛格介绍称,新款处理器实现了“性能提升,功耗降低”的目标。  此外,英特尔还宣布了其新一代笔记本电脑芯片Lunar Lake的相关信息。据称,该芯片在功耗上降低了40%,并集成了更强大的AI处理器,计划于今年第三季度出货。  在AI加速器方面,英特尔表示,包含八块AI芯片的Gaudi 3加速器套件售价大约为12.5万美元,相较于上一代Gaudi 2的6.5万美元标价有所上升,但英特尔强调,与竞争对手的产品相比,其价格仍然具有显著优势。根据供应商Thinkmate的估算,配备八个Nvidia H100 AI芯片的同类服务器系统成本可能超过30万美元。
2024-06-06 10:10 阅读量:601
英特尔组建日本芯片制造自动化团队
  • 一周热料
  • 紧缺物料秒杀
型号 品牌 询价
BD71847AMWV-E2 ROHM Semiconductor
MC33074DR2G onsemi
CDZVT2R20B ROHM Semiconductor
RB751G-40T2R ROHM Semiconductor
TL431ACLPR Texas Instruments
型号 品牌 抢购
TPS63050YFFR Texas Instruments
BP3621 ROHM Semiconductor
ESR03EZPJ151 ROHM Semiconductor
BU33JA2MNVX-CTL ROHM Semiconductor
IPZ40N04S5L4R8ATMA1 Infineon Technologies
STM32F429IGT6 STMicroelectronics
热门标签
ROHM
Aavid
Averlogic
开发板
SUSUMU
NXP
PCB
传感器
半导体
相关百科
关于我们
AMEYA360微信服务号 AMEYA360微信服务号
AMEYA360商城(www.ameya360.com)上线于2011年,现 有超过3500家优质供应商,收录600万种产品型号数据,100 多万种元器件库存可供选购,产品覆盖MCU+存储器+电源芯 片+IGBT+MOS管+运放+射频蓝牙+传感器+电阻电容电感+ 连接器等多个领域,平台主营业务涵盖电子元器件现货销售、 BOM配单及提供产品配套资料等,为广大客户提供一站式购 销服务。