姓名：李艺暄   学号：14310116071

转载自：https://newtalk.tw/news/view/2018-01-03/109262与https://www.ithome.com.tw/news/120180

【嵌牛导读】：英特尔处理器芯片包爆出一个大BUG，据称英特尔CPU芯片存在根本性的设计缺陷。

【嵌牛鼻子】：英特尔、CPU

【嵌牛提问】：这是怎么一回事，你会怎么看待

【嵌牛正文】：

    英特尔（Intel）生产的中央处理器（CPU）产品，被爆出在硬体架构方面存在安全性漏洞，若要解决此安全隐忧，必须透过Windows、Linux等作业系统的更新，但更新后，将会损失约5％至30％的原先效能。

    科技网站The Register提出的一份报告指出，过去10年以来，Intel的中央处理器，隐藏着相当严重的安全性漏洞，这项漏洞能让使用者存取原应受保护的CPU内部记忆体内容，若被骇客掌握，则骇客将能轻易发掘更多的安全漏洞。

    Intel生产的中央处理器可说是全世界消费市场中，卖得最好的电脑处理器，通常主要为运作Windows、Linux等作业系统的电脑所采用。而针对Intel处理器这次的严重安全性问题，Windows和Linux的研发人员正加紧脚步，试图以作业系统的更新，从软体层面避开这项问题。不过由于此漏洞是晶片层级的漏洞，要解决问题，最可能的手段就是用软体「绕过」一些原本会使用的CPU架构。但既然是「绕过」原先能使用的零件，显然电脑效能将会下降。目前预估，安装更新档后，效能缩水的幅度约在17％至23％，最惨则可能会损失30％的效能。

    而鉴于近年来有不少苹果公司（Apple）的电脑产品开始改为采用Intel的处理器，此漏洞也将影响到采用Intel处理器的苹果电脑，例如Mac、Macbook Pro，或是Macbook Air等。

1 月 3 日，针对漏洞问题，Intel CEO Brian Krzanich 率先回应称：

我们不可能逐一检查所有系统。但由于这个漏洞很难利用，必须进入系统，还要进入内存和操作系统，所以从目前的调查来看，我们对于该漏洞尚未被利用很有信心…… 系统一直按照既有方式运行，符合系统的构建和设计方式……（黑客）无法借助这个漏洞对数据进行任何修改和删除，不能通过这一流程对数据展开任何操作。所以从这个角度来讲，这并不是缺陷。

ARM 在 1 月 3 日回应称：

ARM 已经在与 Intel 和 AMD 合作进行分析。在一些特定的高端处理器中会出现 Speculative execution 被利用的情况，包括我们的一部分 Cortex-A 处理器；在可能出现的利用过程中，恶意软件将会在本地运行并导致内存的数据被获取。需要声明的是，我们开发的用于 IoT 的高性能低功耗 Cortex-M 处理器，将不受此影响。

Google于本周三（1/3）指出，现今大多数的中央处理器（CPU）都受到「推测执行」（speculative execution）漏洞的影响，允许骇客读取系统记忆体，从密码、加密金钥或是程式中的机密资讯，波及了英特尔（Intel）、AMD与ARM的处理器产品，原本业界计画要在1月9日共同揭露，但因媒体及安全社群已开始报导及猜测，增加了漏洞被开采的风险，使得Google决定提前公布。 「推测执行」为一处理器最佳化技术，让具备额外资源的电脑系统事先执行一些任务，在需要时就能使用以改善效能并预防延迟，被应用在现代大多数的CPU中。 然而，Google的Project Zero团队去年便发现「推测执行」中隐含有一重大安全漏洞，不当的推测执行可滥用CPU资料快取的时间安排而造成资料外泄，在最糟糕的情况下可跨越本地端的安全界线而衍生出至少3种可任意读取虚拟记忆体的变种漏洞。 Google说明，为了改善效能，许多CPU都会基于可能是真的假设来执行推测指令，并在推测执行中验证这些假设，若是有效的便继续执行，无效时即会松开执行，并因应真实的情况启动正确的执行路径；不过，「推测执行」在CPU处于松开状态时可能会出现一些无法复原的副作用，进而导致资料外泄。 相关漏洞同时影响了英特尔、AMD与ARM的处理器，也影响采用这些处理器的装置与作业系统。 Google已于去年6月1日将漏洞资讯提交给上述处理器业者。 若要开采「推测执行」漏洞必须先于目标系统上执行恶意程式，此外，并无任何单一修补程式可一次解决已知的3种变种漏洞，得分别修补以提供保护，现阶段已有许多业者防堵了其中1个或多个攻击途径。