在2018新年的周内，让科技圈震惊的新闻事件，无疑是“芯片门”——由于英特尔、AMD和ARM架构的芯片存在严重设计缺陷，导致“崩溃”（Meltdown）和“幽灵”（Spectre）两大漏洞出现。该漏洞或将波及所有桌面系统、电脑、智能手机及云计算服务器，影响几乎所有用户的个人信息安全。

消息一出，人们停下了手上的工作、关掉了联网的吃鸡游戏，着急地查杀电脑、手机等设备的漏洞病毒，此事件影响范围之广、危害之严重、修复难度之大，都是大家始料未及的。

对此，AMD、ARM、高通等芯片制造商时间采取措施修补漏洞；微软、苹果安卓等操作系统开发商火速发布安全补丁；英特尔也于上周五（1月5日）提供了“自我救赎”的解决方案，宣称已对英特尔芯片计算机系统开发进行更新，本周（1月14日前）发布的更新范围将达到5年内推出的90%以上的处理器产品。

本次“芯片门”事件的巨大影响，不仅仅源于人们对网络病毒与信息泄露的深恶痛绝，还体现出芯片产业的一些突出问题。今天，OFweek电子工程网小编与大家一起回顾此次芯片漏洞事件的始末。

芯片漏洞震惊

2018年1月3日，谷歌互联网安全项目Project Zero的研究人员和来自数个国家的学术界和科技产业研究人员，披露了存在于英特尔、AMD和ARM架构的芯片中的两个安全漏洞——“崩溃”（Meltdown）和“幽灵”（Spectre）。该漏洞震惊科技圈的原因有四：

，此次漏洞具有特殊性，与以往的漏洞完全不一样。以往的漏洞大都是软件自身存在问题，或是程序不严谨造成的安全漏洞。而“崩溃”和“幽灵”则是由处理器架构设计缺陷而引发的，是硬件层面的漏洞。

第二，影响极其广泛。“崩溃”和“幽灵”会对英特尔的处理器，甚至是AMD、ARM等造成重大威胁，考虑到这三者的市场份额，几乎没有多少产品可以幸免。甚至有业内人士表示，1995年之后的每一个系统几乎都会受到漏洞的影响，当然包括计算机和移动手机，这是非常严重的问题。

第三，危害系数高。利用该漏洞，黑客可以从APP运行内存中窃取数据，比如密码管理器、浏览器、电子邮件、照片和文档中的数据，盗取几乎所有的现代计算设备中的敏感信息。

第四，糟糕的是，漏洞修复难度极高。由于漏洞是芯片底层设计上的缺陷导致的，修复起来会非常复杂，同时难以完美修复。仅通过芯片制造厂商进行安全更新（例如升级CPU微码）是无法解决这一问题。想彻底修复这些漏洞，就要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、芯片厂商一起协作，并进行复杂且极其深入的修改。

何为“崩溃”？ 何为“幽灵”？

“崩溃”（Meltdown）：影响的是英特尔芯片，它可以打破由用户运行的应用程序和计算机内存之间的隔离，让黑客直接读取计算机内存数据，并调取其他应用程序和操作系统的内容，包括用户输入过的任何账户和密码。

“幽灵”（Spectre）：影响到英特尔、AMD和ARM架构的芯片，它可以打破不同应用程序之间的隔离，让黑客经过伪装、骗过系统检测而调取资源，甚至欺骗CPU执行任意操作。

据分析，这两种攻击都是滥用推测性执行（speculative execution），从低特权用户进程（例如设备上运行的恶意应用程序）“越界”访问特权内存（包括为内核分配的内存），从而允许黑客窃取密码，登录密钥和其他有价值的信息。

发现“崩溃”漏洞的格拉茨工业大学丹尼尔-格鲁斯（Daniel Gruss）表示，“崩溃”可能是迄今为止发现的糟糕的处理器漏洞之一，但它可以通过软件补丁来修复。从长期来看，“幽灵”将会是更严重的问题，因为它几乎影响到所有计算设备，虽然很难被利用，但一旦被利用就极其难修复。

值得庆幸的是，直至本文发布之时，仍未收到由于这两个漏洞而引发的网络案件。

各方的解决方案

可谓一石激起千层浪。漏洞曝光之后，各家、操作系统厂商、浏览器厂商，以及云服务厂商，纷纷先后作出回应，积极采取措施，发布安全公告，并以时间推出缓解措施和修复补丁。

事出不到一天，英特尔方面就给出了相关声明，称外国媒体针对此事的报道并不准确，正与AMD、ARM及软件厂商合作解决此问题，另外其他公司的芯片也存在相同问题。却未提出相关解决方案。

当然，英特尔的老对头 AMD 肯定不会放过这次机会。AMD 发布题为《信息安全是重中之重》的声明，指出其安全研究团队已经发现了三个针对推测执行的变体，并由于 AMD 处理器的不同架构，这次的安全漏洞对他们的产品来说影响几乎为零。

至于其他芯片制造商，针对“崩溃”漏洞，Linux已经发布了KAISER；macOS从10.13.2予以了修复；谷歌称已经修复；Win10 Insider称去年底修复；Win10秋季创意者更新发布了KB4056892，将强制自动安装；亚马逊AWS随后也公布了指导方案。而对于难度更高的“幽灵”漏洞，各厂商目前也仍在攻坚中。

我们把目光关注到国内厂商。作为本次漏洞的受害者之一，腾讯云平台发布安全升级通知，宣布将通过升级技术对平台进行维护。还有华为、阿里、金山、京东、百度等服务商，也对准备或已经启动应急措施，推进漏洞修复的事宜进行了通告，目前仍未收到影响攻击。

在“芯片门”发酵数天之后，英特尔终于拿出了解决办法。1月5日，英特尔宣布，已为基于英特尔芯片的各种计算机系统开发了更新，并且正在快速发布这些更新，以保护这些系统免受两种潜在攻击的威胁。截止到本周末，英特尔发布的更新预计将覆盖过去五年内推出的90%以上的处理器产品。

至此，轰轰烈烈的“芯片门”可谓暂时落下帷幕。说暂且，是因为系统修复仍未全部完成，危机还在生效中，相信无论是上述厂商，还是受害的服务商，新年的个月便要加班加点了。

中国“芯机会”：

速度与激情的前提是安全

数据安全是一个严肃的话题，尤其是信息时代的高速发展，物联网、无人驾驶、5G、人工智能、深度学习、云计算等新兴领域都对芯片的计算能力提出了更高要求。此次“芯片门”事件更是对整个信息产业敲响了警钟，在新信息革命呼之欲出的当下，要感受速度与激情的体验，前提必须是安全！

回顾的现状，凸显出一家独大明显、竞争技术固定、CPU架构单一等特点，也因此本次“芯片门”事件会产生如此广泛的影响。或许芯片产业即将驶入洗牌关键点，需要补充更多的新鲜血液，不断沉淀技术基础、创新研发实力。

这将会是中国信息产业的“芯”机会。如今，中国从“制造大国”向“制造强国”进发，芯片国产化也成为其中关键一步。经过多年的发展，片产业在设计、制造、等领域已经逐步成长起来，虽然仍有一定差距，但已经孕育出展讯、华为、海思、七星华创、北方微电子、中国电科集团等产业链上下游的企业。我们希望，凭借着自身实力的提升，芯片产业的接力棒将会落到中国“芯军团”的手上。