據國外科技媒體The Register北京時間1月3日的報道，英特爾公司旗下處理器芯片的一個根本性設計缺陷，迫使Windows、Linux內核需要進行大規模重新設計，以解決芯片級安全漏洞。

不過，Windows、Linux的系統更新將會影響英特爾產品的性能，導致英特爾芯片速度放慢5%至30%。

據了解，Intel CPU漏洞問題衍生出來的安全事件已經波及全球幾乎所有的手機、電腦、云計算產品，ARM確認 Cortex-A架構中招。這一次由Intel服務器CPU產品誘發的安全事故現在規模正式擴大，確認波及到ARM和AMD，也就是說，近二十年來生產的幾乎一切手機、電腦、云計算產品都在風險之列。不過AMD表示從目前的研究來看，他們受影響最小，可視為零風險。

安全人員將兩個新的漏洞命名為Meltdown（熔斷）和Spectre（幽靈），前者允許低權限、用戶級別的應用程序“越界”訪問系統級的內存，從而造成數據泄露。

1、哪些系統受影響？

Windows、Linux、macOS、亞馬遜AWS、谷歌安卓均中招。

2、除了Intel處理器，還波及哪些硬件？

ARM的Cortex-A架構和AMD處理器。Cortex-A目前廣泛用于手機SoC平臺，包括高通、聯發科、三星等等。

雖然AMD稱基于谷歌研究的三種攻擊方式，自己的處理器基本免疫。但Spectre（幽靈）漏洞的聯合發現者Daniel Gruss（奧地利格拉茨技術大學）稱，他基于AMD處理器的Spectre代碼攻擊模擬相當成功，絕不能低估。

3、如何修復？

Intel建議關注后續的芯片組更新、主板BIOS更新，但首先，應該把OS級別的補丁打上。

對于Meltdown漏洞：Linux已經發布了KAISER、macOS從10.13.2予以了修復、谷歌號稱已經修復，Win10 Insider去年底修復、Win10秋季創意者更新今晨發布了KB4056892，將強制自動安裝。 亞馬遜也公布了指導方案。

對于難度更高的Spectre漏洞，目前仍在攻堅。

4、Windows 7/XP受影響不？

微軟承諾，將在下一個補丁日幫助Win7修復，但是否惠及XP沒提。

5、打補丁性能受到影響？

研究者Gruss稱對此，他無法給出確切結論，但從Intel聲明的措辭中可以確認會有性能損失。

福布斯稱，性能影響較大的是Intel 1995年到2013年的老處理器，最高可達50%，從Skylake這一代之后就幾乎察覺不到了。

6、那么這些漏洞造成什么損失了？

由于兩個漏洞都是越級訪問系統級內存，所以可能會造成受保護的密碼、敏感信息泄露。

但福布斯了解到，目前，尚未有任何一起真實世界攻擊，所有的推演都來自于本地代碼模擬。

所以，看似很嚴重但其實也可以理解為一次安全研究的勝利。研究者稱，漏洞要在個人電腦上激活需要依附與具體的進程等，比如通過釣魚軟件等方式植入。

以下為英特爾聲明全文：

英特爾和其他技術公司對最近媒體報道的一項安全研究已經了解。這一研究中描述的軟件分析方法，當被用于惡意目的時，有可能從被操縱的計算設備中不當地收集敏感數據。英特爾認為，這些攻擊沒有可能損壞、修改或刪除數據。

最近的報道還稱，這些破壞是由“漏洞”或“缺陷”造成的，并且是英特爾產品所獨有的——這是不正確的。根據迄今的分析，許多類型的計算設備（有來自許多不同供應商的處理器和操作系統）都會容易受到類似攻擊。

英特爾致力于為產品和客戶安全提供保障，并與許多其他技術公司（包括 AMD、ARM 控股和多個操作系統供應商）密切合作，以制定用于全行業的方法，迅速、有建設性地解決這一問題。英特爾已開始提供軟件和固件更新來抵御這些破壞。與某些報道中指出的恰恰相反，不同負載受影響程度不同。對于一般的計算機用戶來說影響并不顯著，而且會隨著時間的推移而減輕。

英特爾致力于提供業界最佳實踐，負責任地披露潛在的安全問題，這就是英特爾和其他供應商原本計劃在下周發布更多軟件和固件更新的原因。但由于當前媒體不準確的報道，英特爾今天特此發表聲明。

請與您的操作系統供應商或系統制造商聯系，并盡快采納任何可用的更新。日常遵循抵御惡意軟件的安全操作，也有助于在應用更新之前防止可能的破壞。

英特爾相信其產品在世界上是最安全的，并且在合作伙伴的支持下，當前對這一問題的解決方案，能為客戶提供最佳的安全保障。

編輯點評：此次漏洞的最大受害者是數據中心以及企業用戶，普通消費者受影響有限，然而數據中心是Intel大單生意的主要來源，這次損失可慘重了。