據(jù)華爾街日報(bào)報(bào)道，計(jì)算機(jī)芯片被曝存在安全漏洞，乍看之下似乎給英特爾帶來了一場突如其來的危機(jī)，但在這背后它和其它的科技公司以及專家其實(shí)對付該問題已經(jīng)有數(shù)個(gè)月。

今天，蘋果成為了最新一家承認(rèn)受到芯片漏洞影響的科技巨頭。該公司表示，所有的iPhone、iPad和Mac電腦都受到影響，公司已經(jīng)發(fā)布更新來修復(fù)漏洞。

英特爾、它的主要競爭對手AMD以及芯片設(shè)計(jì)廠商ARM本周均稱，它們的部分處理器存在可能會被黑客利用的安全漏洞，這一問題影響電腦、智能手機(jī)和其它設(shè)備所使用的各種芯片，但到目前為止與任何的黑客攻擊事件都無關(guān)聯(lián)。

在芯片漏洞本周被曝光以前，芯片廠商們以及它們的客戶和合作伙伴，包括蘋果、Alphabet旗下的谷歌、亞馬遜和微軟，就已經(jīng)在加緊解決問題。一個(gè)由大型科技公司組成的聯(lián)盟在聯(lián)手保護(hù)它們的服務(wù)器，并向用戶的計(jì)算機(jī)和智能手機(jī)提供補(bǔ)丁。

所涉的漏洞可能會讓黑客能夠竊取諸如密碼的敏感信息，影響范圍包括來自各家公司的多數(shù)現(xiàn)代芯片。但主導(dǎo)服務(wù)器和PC芯片市場的英特爾受到了最為直接的影響，它的股價(jià)連續(xù)兩天出現(xiàn)下跌。

去年6月1日，谷歌Project Zero安全團(tuán)隊(duì)的一位成員告知英特爾和其它的芯片廠商漏洞的問題。即便早早就知道，英特爾等公司也仍在努力解決安全漏洞。一個(gè)問題在于，將安全更新推送到數(shù)十億部設(shè)備。另一個(gè)問題在于，部分安全補(bǔ)丁可能會減慢設(shè)備的運(yùn)行，因?yàn)槟切┞┒从绊懙揭庠谔岣咛幚砥鬟\(yùn)行速度的芯片功能。

截至周四，各家企業(yè)都表示沒有發(fā)現(xiàn)利用芯片漏洞的黑客攻擊證據(jù)。要是黑客真那么做，那他們很可能會去攻擊英特爾制造的芯片。那是因?yàn)樵摴�司是全球第一大微處理器廠商，其芯片內(nèi)在的漏洞至少可以追溯到10年前。

該問題引發(fā)了人們對英特爾產(chǎn)品安全性的懷疑，眾多客戶需要采取行動保護(hù)自身的系統(tǒng)。它也凸顯了一點(diǎn)：芯片和運(yùn)行于芯片的軟件日益復(fù)雜化，讓它們變得難以鎖定，同時(shí)也使得它們會隱藏?cái)?shù)年未被發(fā)現(xiàn)的漏洞。

“人們在重新評估現(xiàn)代硬件安全屬性的核心原則。我們的很多假定都被違反了，需要重新進(jìn)行評估。”安全研究者科恩·懷特（Kenn White）指出。

不過，在科技戰(zhàn)略研究公司Tirias Research的吉姆·麥克格雷格（Jim McGregor）看來，英特爾受到的影響可能會很有限。“當(dāng)你掌控很大一部分市場，你廣泛地覆蓋客戶的時(shí)候，你能夠逃脫懲罰。”他說道。

英特爾說，預(yù)計(jì)到下周末，它就能向過去5年推出的90%以上處理器提供軟件更新。

其它的公司已經(jīng)發(fā)布補(bǔ)丁。蘋果稱，除了它的移動設(shè)備和電腦以外，Apple TV電視機(jī)頂盒也受到影響，Apple Watch智能手表倒沒受影響。它還說，為蘋果Safari網(wǎng)絡(luò)瀏覽器解決Spectre漏洞的補(bǔ)丁預(yù)計(jì)將在未來幾天發(fā)布。

蘋果指出，它的補(bǔ)丁不會造成設(shè)備運(yùn)行變慢。谷歌周四也表示，它所開發(fā)的補(bǔ)丁“對設(shè)備性能的影響可以忽略。”英特爾稱，對于普通用戶來說，任何性能減退都會很有限，且會隨著時(shí)間的推移而慢慢消失。它還說，公司計(jì)劃在一年內(nèi)重新設(shè)計(jì)芯片，預(yù)計(jì)此次安全問題不會帶來任何的財(cái)務(wù)影響。

周四，英特爾股價(jià)下跌到44.43美元，較周二的收盤價(jià)（漏洞問題曝光以前）累計(jì)下跌5.2%。包括AMD和英偉達(dá)在內(nèi)的其它芯片廠商股價(jià)則出現(xiàn)上揚(yáng)。

問題存在已久

研究人員接觸那些漏洞已經(jīng)有一年多的時(shí)間。2016年8月，在拉斯維加斯的Black Hat網(wǎng)絡(luò)安全大會上，兩位研究者安德斯·福格（Anders Fogh）和丹尼爾·格拉斯（Daniel Gruss）演示了漏洞的早期跡象。福格在去年7月還就此發(fā)表博文，鼓勵(lì)其他的研究者去展開調(diào)查。

與此同時(shí)，谷歌內(nèi)部的安全研究團(tuán)隊(duì)Project Zero的雅恩·霍恩（Jann Horn）早已揭開該問題，并通知了英特爾。最終，來自全球各地的三個(gè)其它的研究團(tuán)隊(duì)就同樣的問題聯(lián)系英特爾，英特爾接著與他們一道交流和撰寫論文。

其中一位研究者丹尼爾·格恩金（Daniel Genkin）指出，他們發(fā)現(xiàn)芯片的漏洞可追溯到2010年，并認(rèn)為那些問題甚至可追溯到更久以前。“帶來這種漏洞的通用架構(gòu)原則有幾十年歷史了，”他說，“我沒有去啟動一臺來自1995年的電腦探個(gè)究竟，但那些原則那時(shí)候就存在。”

福格說道，研究人員之所以同時(shí)發(fā)現(xiàn)同樣的長期漏洞，是因?yàn)榇饲暗难芯看蛳铝嘶�礎(chǔ)，其中包括他在2016年的演示。那為什么英特爾沒有更早發(fā)現(xiàn)漏洞呢？“好問題，我還真回答不了。”他說。

英特爾數(shù)據(jù)中心工程副總裁史蒂芬·史密斯（Stephen Smith）指出，公司一直以來都在設(shè)法提升它的產(chǎn)品安全性。

監(jiān)管文件顯示，在英特爾與合作伙伴們一起努力解決問題期間，英特爾CEO布萊恩·科茲安尼克（Brian Krzanich）在去年11月出售他的公司股票和期權(quán)套現(xiàn)2400萬美元，保留了25萬股股票，從該公司最近的代理委托書來看，那是公司對他的最低持股量要求。

英特爾發(fā)言人表示，那次售股與此次安全問題無關(guān)，是依照預(yù)先安排的、帶有自動出售時(shí)間表的計(jì)劃。

英特爾和由科技公司和研究者組成的大聯(lián)盟計(jì)劃在1月9日對外披露漏洞問題。但本周，科技新聞網(wǎng)站The Register在跟蹤研究該漏洞的補(bǔ)丁的程序員的在線討論后率先進(jìn)行了曝光。

英特爾、AMD和ARM事先通知了部分大客戶，但The Register的報(bào)道讓小公司措手不及。云計(jì)算提供商DigitalOcean的首席安全官約什·芬布魯姆（Josh Feinblum）上周末從同行那里獲悉漏洞問題。他說，他一直在盡可能快速地修復(fù)他的系統(tǒng)，對于目前的成果感到滿意。

“Linux之父”林納斯·托瓦茲（Linus Torvalds）批評英特爾沒有承認(rèn)問題，最初說芯片按照預(yù)想運(yùn)行。“我認(rèn)為，英特爾內(nèi)部的某個(gè)人需要認(rèn)真審視他們的CPU問題，承認(rèn)它們存在問題，而不是撰寫公關(guān)文章大肆宣稱一切都如計(jì)劃發(fā)展。”他在周三致Linux程序員的電子郵件中寫道。

懷特表示，雖然英特爾在事件的披露方面做得亂七八糟，但考慮到事情的性質(zhì)和影響范圍，該公司“或許還算處理得不錯(cuò)。”他說道，研究人員稱部分補(bǔ)丁的開發(fā)“涉及一些新的計(jì)算機(jī)科學(xué)領(lǐng)域。”“該項(xiàng)工作非常復(fù)雜，復(fù)雜到令人驚異。”

該事件讓人們擔(dān)心，基于那些新發(fā)現(xiàn)的漏洞展開的攻擊，可能已經(jīng)發(fā)生了好幾年，卻未被發(fā)現(xiàn)。部分技術(shù)人員認(rèn)為，這種情況可能性不大，因?yàn)槟切枰�有�?fù)雜的黑客技術(shù)。例如，谷歌方面稱它沒能找到辦法去利用Android手機(jī)中的漏洞，但考慮到有人或許能夠利用的風(fēng)險(xiǎn)，它還是為那些設(shè)備提供安全補(bǔ)丁。

其他人表示，如果白帽黑客——發(fā)現(xiàn)及修補(bǔ)安全漏洞的合法黑客——能夠發(fā)現(xiàn)漏洞，那么為非作歹的黑帽黑客也能夠發(fā)現(xiàn)。

懷特指出，隨著漏洞問題如今被曝光，用戶也要保護(hù)好自己。“這些是非常復(fù)雜的攻擊，需要各種背景知識和理解。”他說，“但它一旦出現(xiàn)，就會轉(zhuǎn)變成代碼攻擊。”