1月3日,谷歌零项目组(Project Zero)团队发表关于芯片漏洞的具体情况。随后,包括英特尔、AMD、ARM、高通等在内的多家芯片公司均发布声明,称会受到熔断(Meltdown)或幽灵(Spectre)攻击的风险。其中,Meltdown主要影响英特尔芯片;Spectre则涉及范围更广。
在本周四的声明中,AMD首席技术官Mark Papermaster称:“虽然我们认为AMD处理器架构使Spectre第二种变体漏洞难以发挥作用,我们仍与产业密切合作。”他表示,从这周开始,AMD将会发布面向Ryzen、EPYC处理器的补丁;此外,也会在未来几周陆续发布前几代芯片的补丁。
此外,AMD强调称,Radeon GPU架构不同,因此不受上述漏洞影响。
当天,英特尔CEO Brian Krzanich也在一份声明中表示,对于过去5年发布的芯片,英特尔将于1月15日前对90%以上的芯片进行升级修复工作;1月底前,完成余下10%的芯片升级工作。之后,会逐渐修复更早发布的芯片。
不过,安全漏洞的修复将会影响电脑和服务器的性能。1月9日,微软表示,针对安全漏洞的补丁会降低个人电脑和服务器的速度,尤其是使用早期英特尔芯片的设备,性能下降明显。
微软一篇博文显示,2016年以后销售且搭载Windows 10操作系统的电脑,速度降幅不到10%,大部分用户可能难以察觉。但是,2015年以前销售,搭载Windows 7和Windows 8操作系统的电脑,使用补丁后性能会明显下降。而不管是什么芯片,Windows服务器在更新升级后性能都会受到显著影响,微软称,在评估安全漏洞时,要“做好安全性与性能的平衡”。
但谷歌11日最新的声明称,谷歌从去年9月开始针对Meltdown漏洞和Spectre的第一种变体漏洞部署软件补丁。到12月,谷歌针对Spectre的第二种变体开发出了补丁,可以在不降低系统运行速度。谷歌高管Ben Treynor Sloss在一篇博客中称:“这很可能是十年以来最具挑战性的、最难修补的漏洞。”
Ben表示,在去年12月,已经为所有谷歌云端平台(GCP)服务提供针对上述所有漏洞的保护。 在整个更新过程中,没有人注意到, “这证实了我们的内部评估,即在实际使用中,谷歌的更新不会对工作负载产生重大影响。”