補天完畢！Intel過(guò)去五年CPU漏洞全搞定

　　Spectre幽靈、Meltdwon熔斷安全漏洞事件近來(lái)引發(fā)廣泛關(guān)注，而作為技術(shù)實(shí)力超一流雄厚的芯片巨頭，Intel的行動(dòng)也是果斷迅速，一方面對現有產(chǎn)品進(jìn)行修復，另一方面也在調整未來(lái)產(chǎn)品。

　　Intel CEO科再奇剛剛親自撰文，公布了這次漏洞事件的最新進(jìn)展，頗為振奮人心。

　　科再奇首先表示，本次事件給整個(gè)行業(yè)帶來(lái)了前所未有的挑戰，全球數千名工程師不知疲倦地工作，目的就是保護客戶(hù)和他們的數據安全，即便是競爭對手也在密切合作，科再奇對所有人表示了由衷的感謝。

　　在今年初的CES大展上，科再奇發(fā)表演講時(shí)也明確做出了安全優(yōu)先的承諾，包括客戶(hù)緊急情況優(yōu)先、透明化、第一時(shí)間溝通聯(lián)絡(luò )、持續安全保障。

　　科再奇宣布，Intel過(guò)去五年發(fā)布的處理器，100%已經(jīng)獲得了繞過(guò)邊界檢查漏洞(幽靈漏洞第一種方式)的微代碼更新。

　　接下來(lái)，這些微代碼將陸續以主板BIOS、系統補丁的方式推送給用戶(hù)。

　　針對幽靈漏洞第二種方式(分支目標注入)和熔斷漏洞(惡意數據緩存注入)，Intel已經(jīng)對處理器架構的相關(guān)部分進(jìn)行了重新設計，引入了全新的保護機制，在應用程序和用戶(hù)權限級別之間搭建了一道新的防火墻，來(lái)隔離惡意代碼。

　　這一變化將從代號Cascade Lake的下一代Xeon Scalable至強可擴展處理器，以及下半年出貨的第八代酷睿處理器上首先實(shí)現。

　　Intel八代酷睿目前已經(jīng)有了低功耗移動(dòng)版Kaby Lake-R、桌面版Coffee Lake-S，并即將發(fā)布高性能移動(dòng)版Coffee Lake-H，它們自然都無(wú)緣新的設計。

　　這里說(shuō)的下半年的八代酷睿，應該是最后一部分，也就是Intel首個(gè)采用10nm工藝的產(chǎn)品Cannon Lake，針對低功耗移動(dòng)平臺。

　　換言之，從下半年開(kāi)始，Intel未來(lái)的處理器都會(huì )天生免疫幽靈、熔斷漏洞。

　　以下為Intel官方公告原文——

　　英特爾CEO科再奇：從芯片層面增強安全

　　今年晚些時(shí)候，基于硬件層面的保護將應用到數據中心和PC產(chǎn)品

　　為了解決今年早些時(shí)候Google Project Zero團隊發(fā)現的安全漏洞，英特爾和科技行業(yè)曾面臨一個(gè)重大挑戰。整個(gè)產(chǎn)業(yè)數千同仁付出了不懈努力，以確保我們能夠兌現共同的首要承諾：保護客戶(hù)和他們的數據。我心懷謙卑，對全球諸多同仁所展現的擔當和努力表示誠摯的感謝。而且我確信，當急需幫助時(shí)，各個(gè)公司——甚至競爭對手——都會(huì )攜手合作，共同應對。

　　但仍有很多工作要做。安全形勢不斷演變，我們知道總會(huì )有新的威脅出現。這促使我在一月份起草了“誓保安全第一”的承諾。英特爾歷來(lái)非常關(guān)注安全，而現在，我們比以往任何時(shí)候都更加堅守我在上述承諾中所闡述的原則：客戶(hù)第一的緊迫性、透明且及時(shí)的溝通，以及持續的安全保障。

　　今天，我想提供一些更新以說(shuō)明我們在履行上述承諾過(guò)程中的持續進(jìn)展。首先，我們現在已經(jīng)為過(guò)去5年發(fā)布的所有英特爾產(chǎn)品發(fā)布了微碼更新，以防御谷歌所發(fā)現的通過(guò)側信道方法進(jìn)行攻擊的漏洞。其次，我想要對所有行業(yè)合作伙伴表示贊賞并表達我的感謝，他們與我們密切合作，開(kāi)發(fā)和測試這些更新，并且確保這些更新已經(jīng)實(shí)現產(chǎn)品化。

　　這些更新現已就緒，我鼓勵每個(gè)人都確保自己的系統始終保持最新更新?tīng)顟B(tài)。這是獲得持久保護最簡(jiǎn)單的方法之一。我還想借此機會(huì )分享更多關(guān)于我們未來(lái)將在硬件層面防御這些漏洞的詳細情況。這也是我在英特爾最近的財報電話(huà)會(huì )議上做出的承諾。

　　漏洞變體1將繼續通過(guò)軟件防御方式來(lái)應對，同時(shí)我們正在通過(guò)更改硬件設計以進(jìn)一步解決其它兩個(gè)漏洞變體。我們已經(jīng)重新設計了處理器的一些組件，通過(guò)分區來(lái)引入新的保護級別，這將同時(shí)防御漏洞變體2和變體3?？梢园堰@一分區視作應用程序與用戶(hù)權限級別之間的額外“保護墻”，為入侵者設置一道屏障。

　　這些更改將率先應用在我們的下一代至強可擴展處理器(代號為Cascade Lake)以及預計將于2018年下半年出貨的第8代英特爾酷睿處理器上。當這些新產(chǎn)品面世時(shí)，關(guān)鍵是要確保它們能提供人們所期望的性能提升。我們的目標不僅是提供最好的性能，而且還要提供最安全的性能。

　　但是，我們的工作還沒(méi)有結束。這并不是一次性的事件，而是一個(gè)長(cháng)期承諾。我們對此高度重視?？蛻?hù)第一的緊迫性、透明且及時(shí)的溝通，以及持續的安全保障。這就是我們的承諾，我以及英特爾所有員工的承諾。