近日Intel CEO科再奇親自撰文,公布了本次漏洞事件的最新進展。
在本次的CPU漏洞事件中,整個行業都受到了前所未有的重大挑戰,而為此全球數千名的工程師們在安全問題上付出了不小的努力,用來確保能夠保護客戶和其數據的安全。即使是競爭對手在這樣的重大問題下也進行了密切的合作,科再奇本人對所有行業同仁表示由衷的感謝。
而在今年1月份的2018CES展會上,科再奇就發表過關于安全承諾的演講(《誓保安全第一》點擊查看),包括客戶第一緊急優先原則、透明及時溝通原則、可持續的安全保障原則。
而且此次的公告上還宣布了Intel已經為過去五年發布的所有產品發布了微代碼更新,用以抵擋通過側信道方法進行攻擊的漏洞(幽靈漏洞1)。
此次的微代碼更新將會陸續的通過以主板BIOS、系統補丁的方式推送給各個用戶,希望大家都能保持最新的更新。(針對漏洞1目前也已經可以通過升級軟件解決,微軟1603版win10已經可以防御。)
而針對幽靈漏洞2和熔斷漏洞3,Intel將重新設計處理器的相關部分的架構,可以從硬件上防御漏洞2、和漏洞3的攻擊。這里Intel引入了全新的保護機制,在應用程序和用戶權限之間建立一個新的防火墻,從硬件成面上實現安全保護,直接隔離相關惡意代碼。
這個改變將涉及的新處理器包括下一代至強(Cascade Lake)以及8代酷睿處理器上,其中前者是Intel下一代處理器的代號,8代酷睿是指Cannon Lake-s的后續型號。
而Intel八代酷睿目前已經有了低功耗移動版Kaby Lake-R、桌面版Coffee Lake-S,并即將發布高性能移動版Coffee Lake-H,自然都無緣新的設計。而下半年將具有天生免疫能力的新8代酷睿,應該就是Intel首個采用10nm工藝的產品Cannon Lake-s,針對的是低功耗移動平臺。
簡單來說,從下半年開始,Intel未來的處理器都會直接免疫幽靈、熔斷漏洞。
以下附上官方公告原文
英特爾CEO科再奇:從芯片層面增強安全
今年晚些時候,基于硬件層面的保護將應用到數據中心和PC產品
為了解決今年早些時候Google Project Zero團隊發現的安全漏洞,英特爾和科技行業曾面臨一個重大挑戰。整個產業數千同仁付出了不懈努力,以確保我們能夠兌現共同的首要承諾:保護客戶和他們的數據。我心懷謙卑,對全球諸多同仁所展現的擔當和努力表示誠摯的感謝。而且我確信,當急需幫助時,各個公司——甚至競爭對手——都會攜手合作,共同應對。
但仍有很多工作要做。安全形勢不斷演變,我們知道總會有新的威脅出現。這促使我在一月份起草了“誓保安全第一”的承諾。英特爾歷來非常關注安全,而現在,我們比以往任何時候都更加堅守我在上述承諾中所闡述的原則:客戶第一的緊迫性、透明且及時的溝通,以及持續的安全保障。
今天,我想提供一些更新以說明我們在履行上述承諾過程中的持續進展。首先,我們現在已經為過去5年發布的所有英特爾產品發布了微碼更新,以防御谷歌所發現的通過側信道方法進行攻擊的漏洞。其次,我想要對所有行業合作伙伴表示贊賞并表達我的感謝,他們與我們密切合作,開發和測試這些更新,并且確保這些更新已經實現產品化。
這些更新現已就緒,我鼓勵每個人都確保自己的系統始終保持最新更新狀態。這是獲得持久保護最簡單的方法之一。我還想借此機會分享更多關于我們未來將在硬件層面防御這些漏洞的詳細情況。這也是我在英特爾最近的財報電話會議上做出的承諾。
漏洞變體1將繼續通過軟件防御方式來應對,同時我們正在通過更改硬件設計以進一步解決其它兩個漏洞變體。我們已經重新設計了處理器的一些組件,通過分區來引入新的保護級別,這將同時防御漏洞變體2和變體3。可以把這一分區視作應用程序與用戶權限級別之間的額外“保護墻”,為入侵者設置一道屏障。
這些更改將率先應用在我們的下一代至強可擴展處理器(代號為Cascade Lake)以及預計將于2018年下半年出貨的第8代英特爾酷睿處理器上。當這些新產品面世時,關鍵是要確保它們能提供人們所期望的性能提升。我們的目標不僅是提供最好的性能,而且還要提供最安全的性能。
但是,我們的工作還沒有結束。這并不是一次性的事件,而是一個長期承諾。我們對此高度重視。客戶第一的緊迫性、透明且及時的溝通,以及持續的安全保障。這就是我們的承諾,我以及英特爾所有員工的承諾。
京公網安備 11010502049343號