假自主的隱患爆發(fā)：鯤鵬和飛騰CPU受“幽靈”漏洞影響

　　2018年1月，國外安全研究機(jī)構(gòu)公布了兩組CPU漏洞：幽靈(CVE-2017-5754)和熔斷(CVE-2017-5753/CVE-2017-5715)。 幽靈和壟斷可以影響Intel CPU和AMD CPU，以及主流的ARM CPU。從個人電腦、服務(wù)器、云計算機(jī)服務(wù)器到移動端的智能手機(jī)，都受到這兩組硬件漏洞的影響。

　　雖然幽靈和壟斷在2年多前就已經(jīng)被發(fā)現(xiàn)，且Intel、AMD以犧牲一定性能為代價，有針對性的打了補(bǔ)丁，但就在最近，鯤鵬、飛騰 CPU被證實均受“幽靈”漏洞影響。

　　Intel AMD ARM曾經(jīng)都被發(fā)現(xiàn)受“幽靈”影響

　　2018年，安全研究人員發(fā)現(xiàn)Intel的Sandy Bridge、Ivy Bridge、haswell、Broadwell、Skylake、Kaby Lake、Coffee Lake全部存在嚴(yán)重漏洞。根據(jù)一篇國外論文顯示，除了已經(jīng)被Intel放棄治療的安騰之外，Intel自1995年以來所有的CPU都可能受到影響。

　　這個漏洞就是大名鼎鼎的“幽靈”漏洞，“幽靈”漏洞可能讓惡意腳本直接讀取核心內(nèi)存，掠走敏感信息。黑客可以利用這個漏洞輕易黑掉用戶的電腦。之后，谷歌公司向英特爾發(fā)出漏洞警告，國外諸多媒體開始報道Intel CPU存在重大漏洞。Intel的股價隨之下跌，Intel CEO布萊恩·克蘭尼克也拋售了大量Intel公司的股票。

　　作為Intel的老對手，在Intel遭難的同時也不忘展現(xiàn)自己，表示AMD的CPU不受這個漏洞的影響，AMD的股價隨機(jī)上揚(yáng)。可能是AMD落井下石的行為惹怒了Intel，Intel在回?fù)糁斜硎?，AMD和ARM的CPU同樣受到漏洞影響。

　　之后，谷歌發(fā)表了一個聲明，表示AMD和ARM生產(chǎn)的處理器也是易受攻擊的。同時，“幽靈”漏洞的聯(lián)合發(fā)現(xiàn)者丹尼爾·格魯斯也表示，他基于AMD處理器的“幽靈”漏洞代碼攻擊模擬相當(dāng)成功。

　　Intel與AMD之間的口誅筆伐把ARM也拖下水，ARM表示其主攻智能手機(jī)的Cortex A系列處理器則全軍覆沒。不僅Cortex A系列處理器全軍覆沒，一些基于版處理器IP深度定制的處理器同樣受到影響。

　　ARM就公開表示：由于蘋果的A4處理器是基于 Cortex A8處理器的深度定制版本，包含了ARM的很多原始代碼，因而也受到本次漏洞的影響。同理，高度借鑒 Cortex A9處理器的蘋果A5系列處理器，以及高度借鑒Cortex A15的蘋果A6系列處理器同樣受漏洞影響。而搭載這些處理器的 iPhone、iPad、iPod 和 Apple TV 等產(chǎn)品同樣受到影響。

　　國產(chǎn)ARM CPU經(jīng)測試存在“幽靈”漏洞

　　在2018年“幽靈”和“熔斷”漏洞剛爆發(fā)時，上海市網(wǎng)信辦在進(jìn)行測試后，向廣大互聯(lián)網(wǎng)用戶公告：

　　從目前了解情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。包括以英特爾為主，ARM、AMD等大部分主流處理器芯片;Windows、Linux、macOS、Android等主流操作系統(tǒng)都受上述漏洞的影響，尤其以英特爾的芯片受上述漏洞影響最為嚴(yán)重。相應(yīng)的，采用這些芯片和操作系統(tǒng)的公有云服務(wù)提供商，私有云、電子政務(wù)云等基礎(chǔ)設(shè)施，廣大終端用戶，都有可能遭遇利用上述漏洞機(jī)理發(fā)起的組合攻擊。特別需要強(qiáng)調(diào)的是，上述漏洞對云計算基礎(chǔ)設(shè)施的影響是尤為嚴(yán)重的。

　　由于漏洞影響范圍廣，危害巨大，“幽靈”和“熔斷”被發(fā)現(xiàn)后被譽(yù)為史詩級漏洞。

　　雖然距離發(fā)現(xiàn)“幽靈”漏洞已經(jīng)過去了2年多，但在鯤鵬CPU和飛騰CPU上依然被發(fā)現(xiàn)受“幽靈”影響?？紤]到時間已經(jīng)過去了2年多，鯤鵬和飛騰都有充足的時間打補(bǔ)丁，何況鯤鵬還是在2019年問世的，在“幽靈”已經(jīng)被發(fā)現(xiàn)后，鯤鵬居然沒有進(jìn)行有針對性的防范，CPU依然存在“幽靈”漏洞，這就有一點(diǎn)不應(yīng)該了。

　　之所以出現(xiàn)這種情況，關(guān)鍵還是鯤鵬和飛騰技術(shù)能力的問題。

　　在漏洞被曝光之后，Intel就聯(lián)合合作伙伴著手打補(bǔ)丁解決問題，而且在Intel最新的新聞宣傳稿中，微軟、亞馬遜、谷歌都表示在更新后影響較小，遠(yuǎn)不像一些媒體報道的性能損失30%那么嚇人。之所以如此就是因為Intel掌握了CPU的核心技術(shù)，并有很強(qiáng)的研發(fā)能力。鯤鵬CPU和飛騰CPU在“幽靈”漏洞被發(fā)現(xiàn)2年多后，依然未能有針對性的進(jìn)行改進(jìn)，其自主研發(fā)能力是值得商榷的。

　　由于鯤鵬CPU和飛騰CPU都存在橫空出世的問題——鯤鵬CPU雖然在PPT上迭代多次，但Hi1610和Hi1612都是Cortex A57，Hi1616是Cortex A72，鯤鵬920與之前的Hi1616和Hi1612不存在技術(shù)迭代演進(jìn)關(guān)系。飛騰CPU雖然看似經(jīng)過多次迭代，但實際上就是66X系列核心修修補(bǔ)補(bǔ)，其實還是同一代核心。

　　有鑒于蘋果A4、A5、A6借鑒 Cortex A8、Cortex A9、Cortex A15，進(jìn)而導(dǎo)致其存在“幽靈”漏洞，鯤鵬920的CPU核與飛騰CPU的66X核心很可能與蘋果類似，都是借鑒ARM公版核心。由于本身就是對公版的“借鑒”，所以連“幽靈”漏洞也一起“借鑒”過來了。

　　從本次事件來看，一款CPU最為關(guān)鍵的還是設(shè)計團(tuán)隊的能力。擁有自主研發(fā)的能力，才能夠自己給自己打補(bǔ)丁，不斷解決碰到的問題，實現(xiàn)螺旋式提升。而如果只是引進(jìn)國外源代碼，會遭遇知其然，不知其所以然的困局，碰到了問題也改不了，結(jié)果導(dǎo)致2年前發(fā)現(xiàn)的漏洞，至今依然存在的問題。

　　當(dāng)下，國內(nèi)各家CPU都標(biāo)榜自己是自主研發(fā)，但“王婆賣瓜，自賣自夸”是不足以讓大眾信服的。真正想要讓別人信服，關(guān)鍵在于能否證明自己的研發(fā)能力——是否具有CPU技術(shù)迭代演進(jìn)的能力，是否能夠?qū)Πl(fā)現(xiàn)的短板和漏洞進(jìn)行修正彌補(bǔ)的能力。如果做不到這些，只是用買來的源代碼和尖端工藝“堆”出一款SoC/CPU就標(biāo)榜自主，那只是“皇帝新衣”，玩自欺欺人，指鹿為馬的游戲。

× 烏有之鄉(xiāng) WYZXWK.COM

您的打賞將用于網(wǎng)站日常運(yùn)行與維護(hù)。
幫助我們辦好網(wǎng)站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號