知产力,为创新聚合知识产权解决方案

“芯片漏洞”堪比“千年虫”,危险级别之高、影响面之大,如何能顺利解决?

2018-01-10 10:37 · 作者:   阅读:175   来源:AI商业


今年新年刚过,爆出了几乎席卷整个IT产业的芯片漏洞事件,让人们刚刚放松的神经紧张起来。


根据国内外媒体的披露,事件的来龙去脉是这样的:


2017年,Google旗下的ProjectZero团队发现了一些由CPU Speculative Execution引发的芯片级漏洞,“Spectre”(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和“Meltdown”(变体3:CVE-2017-5754),这三个漏洞都是先天性质的架构设计缺陷导致的,可以让非特权用户访问到系统内存从而读取敏感信息。


 



 


2017年6月1日,Project Zero安全团队的一名成员在向英特尔和其他芯片生产商告知了这些漏洞的情况,而直到2018年1月2日,科技媒体The Register在发表的一篇文章中曝光了上述CPU漏洞,才让芯片安全漏洞问题浮出水面,也让英特尔陷入一场突如其来的危机,导致股价下跌。


 



 


芯片安全漏洞爆出后,引起了媒体和业界的广泛关注:不但将在CPU上市场份额占绝对优势的英特尔抛到舆论漩涡中,也引起大家对安全问题的担忧。人们不禁要问,芯片漏洞问题早已发现,为什么到才被公布?是英特尔有意隐瞒吗?


延期公布,为准备应对方案赢得了时间


从媒体披露的情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。


虽然是英特尔为主,但ARM、高通、AMD等大部分主流处理器芯片也受到漏洞影响,IBM POWER细节的处理器也有影响。采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都受上述漏洞的影响。


应该说,这是跨厂商、跨国界、跨架构、跨操作系统的重大漏洞事件,几乎席卷了整个IT产业。


根据《华尔街日报》报道称,Project Zero安全团队在2017年6月1日向英特尔和其他芯片生产商告知漏洞情况后,这7个月时间里,英特尔一直在努力联合其他主流芯片厂商、客户、合作伙伴,包括苹果、谷歌、亚马逊公司和微软等在加紧解决这一问题,一个由大型科技公司组成的联盟正展开合作,研究并准备应对方案。


据消息人士透露,该联盟成员之间达成了保密协议,延迟公开,研究开发解决方案,确保公布漏洞后“准备就绪”。该消息人士还称,原计划1月9日公开,而由于科技媒体The Registe在1月2日就曝光了芯片漏洞问题,导致英特尔等公司提前发布了相关公告。


在芯片漏洞曝光后的第二天,1月3日英特尔公布了最新安全研究结果及英特尔产品说明,公布受影响的处理器产品清单。


1月4日,英特尔宣布,与其产业伙伴在部署软件补丁和固件更新方面已取得重要进展。英特尔已针对过去5 年中推出的大多数处理器产品发布了更新,到这个周末,发布的更新预计将覆盖过去5 年内推出的90% 以上的处理器产品。


随后,微软、谷歌以及其他一些大型科技公司相继发布关于漏洞的应对方案,表示他们正在或已对其产品和服务提供更新。


微软发布了一个安全更新程序,以保护使用英特尔和其他公司芯片的用户设备;苹果确认所有的Mac系统和iOS设备都受到该漏洞影响,但已发布防御补丁;谷歌表示,已更新了大部分系统和产品,增加了防范攻击的保护措施;高通表示,针对受到近期曝光的芯片级安全漏洞影响的产品,正在开发安全更新。


有网络安全专家认为,虽然漏洞影响范围广泛,对于普通用户,大可不必过于恐慌,但受影响较大的主要会是云服务厂商。大部分云服务厂商也公布了应对方案和时间表。


阿里云:将在1月12日凌晨1点采用热升级的方式进行虚拟化底层的更新。
  腾讯云:将在1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,对于极少量不支持热升级方式的服务器,腾讯云安全团队将另行进行通知。
  百度云:将在虚拟机和物理机两个层面进行修复,并将于2018年1月12日零点进行热修复升级。
  华为云:正在对漏洞进行分析,跟进主流操作系统发布补丁的情况。
  AWS: 新的服务器默认已经有补丁。


AI商业认为,幸好不是漏洞一发现就公布,否则,在没有应对方案出来就公布,会引起更大的安全担忧或恐慌。 而延迟到现在公布漏洞,英特尔、微软等主要厂商已做好充足的准备,相继继发布了补丁和更新方案。


芯片漏洞堪比“千年虫”,需要大家“在一起”


在整个IT发展史上,随着技术发展所暴露出来的计算机软件或设计漏洞可以说是一种难以避免的现象。因为,技术在发展,黑客技术也在不断发展,多年前没发现存在漏洞,多年后就可能发现存在漏洞。“你信或不信,漏洞可能就在那里,只是还没人能够发现”。


 



 


而一旦漏洞被发现,只有积极应对解决,才能避免损失,防患于未然。


芯片是整个信息系统的“心脏”和核心。解决这样芯片级的、前所未有的,涉及面极广的、高危级别的重大安全漏洞,难度系数可想而知!


这已不是芯片领头厂商英特尔一家可以解决的,也不只是英特尔、ARM、AMD等芯片厂商应该积极应对的问题。而且,根据英特尔、微软等厂商公布的信息看,到现在还不能说完全解决漏洞问题。好在,到目前为止没有一个实际被攻破的案例,各家公司都表示未发现利用上述漏洞发动攻击的证据。


AI商业认为,这次芯片漏洞事件堪比当年的“千年虫”问题,已成为“一损俱损”的全行业事件,需要整个产业链的密切配合、共同解决。解决得好,大家都化险为夷,而万一出现安全攻击事件,损害的不仅是英特尔或哪一家厂商,而是整个产业。


这不仅让人回想起当年整个产业“集体”应对“千年虫”问题时的场景。


“千年虫”算是一种程序处理日期上的bug。由于其中的年份只使用两位十进制数来表示,因此当系统进行跨世纪的日期处理运算时,就会出现错误的结果,进而引发各种各样的系统功能紊乱甚至崩溃。


90年代末,千年虫问题是许多专家广泛讨论的话题,它可能引发飞机碰撞、轮船偏离航向、证券交易所崩盘等问题,一旦出错后果不堪设想。


而千年虫问题之所以基本平稳地度过,与政府和整个产业的重视和大力修复分不开的,当然也离不来媒体铺天盖地的宣传。就算这样,也有少数落后国家不够重视或者资金技术不足,导致千年虫发作,一些政府机构和电力系统运行瘫痪。


所以,AI商业认为,相关厂商、用户和政府部门都应该拿出当年应对“千年虫”问题的态度来积极应对,防患于未然。


一要密切跟踪该漏洞的最新情况,及时评估漏洞的影响。二要对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,制定修复工作计划,及时更新安装。


我们相信,只要齐心协力,积极应对,芯片漏洞问题最终也将是“虚惊一场”。


  • 知产天下荟·宁波|知名商品特有装潢认定和保护可考量商标知名度

    注册商标与商品装潢作为两项独立的元素,具有各自的价值。然而,相互独立不意味着完全剥离,在具体纠纷中,仍可将两者的联系适当纳入考量范围。相同条件下使用在涉案商品上的商标知名度越高,相应的商品装潢被认定为知名商品特有装潢的可能性越大。在涉案商标为驰名商标的情形下,短期内的集中宣传造势也可能使权利人在知名商品上附加的特有装潢具备识别商品来源的作用,从而被认定为知名商品特有装潢,获得反不正当竞争法的保护。
  • 网络游戏的核心游戏规则是否属于商业秘密?

    要研究网络游戏的核心游戏规则是否属于商业秘密,我们首先应该了解这个问题所涉及的两个基本概念:商业秘密和核心游戏规则。
  • 从复原“断臂维纳斯”看古文点校的“版权”

    1820年,在爱琴海的一个岛上,一个农夫在一座古墓旁挖掘到一尊女性雕像,希望大发一笔的农夫立刻报告了岛上的法国领事。此后,这尊雕像差点引发了一场战争,几经辗转最后顺利运抵法国,这就是后来闻名于世的“断臂维纳斯”,与“蒙娜丽莎的微笑”、“胜利女神的雕像”并称为卢浮宫三大镇馆之宝。那么,时至今日,如果哪个考古学家一番努力后宣布复原了“断臂维纳斯”,那么,他可以对其研究成果(即复原的雕像)主张著作权吗?
  • 论道医药专利|药物杂质化合物的可专利性

    基于诉争专利之一、名称为“桂哌齐特氮氧化物、其制备方法和用途”的第200910176994.1号发明专利(以下称为994专利)将笔者对药物杂质、特别是杂质化合物的可专利性的一些思考分享一下
  • 50+IP人拿到北京户口,他们是怎么做到的

    日前,经过了半年的申报审核工作后,北京市人力资源和社会保障局发布了2018年北京市积分落户公示名单。2018年申报积分落户的共124657人,按照同分同落的原则,落户人员公示名单确定为6019人。小编翻阅了600余页信息后发现,此次共有50余IP人,享受到北京积分落户红利。
  • 网络游戏的核心游戏规则是否属于商业秘密?

    要研究网络游戏的核心游戏规则是否属于商业秘密,我们首先应该了解这个问题所涉及的两个基本概念:商业秘密和核心游戏规则。
  • 从复原“断臂维纳斯”看古文点校的“版权”

    1820年,在爱琴海的一个岛上,一个农夫在一座古墓旁挖掘到一尊女性雕像,希望大发一笔的农夫立刻报告了岛上的法国领事。此后,这尊雕像差点引发了一场战争,几经辗转最后顺利运抵法国,这就是后来闻名于世的“断臂维纳斯”,与“蒙娜丽莎的微笑”、“胜利女神的雕像”并称为卢浮宫三大镇馆之宝。那么,时至今日,如果哪个考古学家一番努力后宣布复原了“断臂维纳斯”,那么,他可以对其研究成果(即复原的雕像)主张著作权吗?
  • 论道医药专利|药物杂质化合物的可专利性

    基于诉争专利之一、名称为“桂哌齐特氮氧化物、其制备方法和用途”的第200910176994.1号发明专利(以下称为994专利)将笔者对药物杂质、特别是杂质化合物的可专利性的一些思考分享一下
  • 50+IP人拿到北京户口,他们是怎么做到的

    日前,经过了半年的申报审核工作后,北京市人力资源和社会保障局发布了2018年北京市积分落户公示名单。2018年申报积分落户的共124657人,按照同分同落的原则,落户人员公示名单确定为6019人。小编翻阅了600余页信息后发现,此次共有50余IP人,享受到北京积分落户红利。
  • 论最接近的现有技术在整套权利要求中的适格性

    既然在独立权利要求不具备创造性的情况下还要审查该独立权利要求的从属权利要求的创造性,那么就有必要核实对于独立权利要求而言“最接近的现有技术”是否仍然适合评价其从属权利要求的创造性。总之,使用“三步法”评价每项权利要求的创造性都要从确定最接近的现有技术开始,而不能省略该步骤,否则就不是完整执行创造性“三步法”的评价原则。
  • 知产天下荟·宁波|知名商品特有装潢认定和保护可考量商标知名度

    注册商标与商品装潢作为两项独立的元素,具有各自的价值。然而,相互独立不意味着完全剥离,在具体纠纷中,仍可将两者的联系适当纳入考量范围。相同条件下使用在涉案商品上的商标知名度越高,相应的商品装潢被认定为知名商品特有装潢的可能性越大。在涉案商标为驰名商标的情形下,短期内的集中宣传造势也可能使权利人在知名商品上附加的特有装潢具备识别商品来源的作用,从而被认定为知名商品特有装潢,获得反不正当竞争法的保护。
  • 网络游戏的核心游戏规则是否属于商业秘密?

    要研究网络游戏的核心游戏规则是否属于商业秘密,我们首先应该了解这个问题所涉及的两个基本概念:商业秘密和核心游戏规则。
  • 从复原“断臂维纳斯”看古文点校的“版权”

    1820年,在爱琴海的一个岛上,一个农夫在一座古墓旁挖掘到一尊女性雕像,希望大发一笔的农夫立刻报告了岛上的法国领事。此后,这尊雕像差点引发了一场战争,几经辗转最后顺利运抵法国,这就是后来闻名于世的“断臂维纳斯”,与“蒙娜丽莎的微笑”、“胜利女神的雕像”并称为卢浮宫三大镇馆之宝。那么,时至今日,如果哪个考古学家一番努力后宣布复原了“断臂维纳斯”,那么,他可以对其研究成果(即复原的雕像)主张著作权吗?
  • 论道医药专利|药物杂质化合物的可专利性

    基于诉争专利之一、名称为“桂哌齐特氮氧化物、其制备方法和用途”的第200910176994.1号发明专利(以下称为994专利)将笔者对药物杂质、特别是杂质化合物的可专利性的一些思考分享一下
  • 50+IP人拿到北京户口,他们是怎么做到的

    日前,经过了半年的申报审核工作后,北京市人力资源和社会保障局发布了2018年北京市积分落户公示名单。2018年申报积分落户的共124657人,按照同分同落的原则,落户人员公示名单确定为6019人。小编翻阅了600余页信息后发现,此次共有50余IP人,享受到北京积分落户红利。
  • 康信视点|浅析商业秘密保护与专利保护的关联性

    识产权中所涉及的工业产权中,以专利权最被人熟知,而每位权利人在获得专利权之初,除了如何申请专利之外,在权利人选择专利保护之前也通常在商业秘密和专利保护之间徘徊,所以对于专利代理人来说,在日常的咨询业务中也会经常面对客户的这类问题,基于此通常专利代理人会向客户解释专利保护和商业秘密的区别,如何界定商业秘密和潜在的专利申请,以及如果选择商业秘密后如何与专利保护相关联,因此商业秘密如何与专利保护相关联。
  • 美方发布对华“301条款”调查征税产品建议清单 外交部等回应(附完整清单)

    美国东部时间2018年4月3日下午(北京时间4日凌晨),美国贸易代表办公室(USTR)发布了对华“301条款”调查征税产品建议清单(完整清单可点击文末“阅读原文”查阅),美方声称此举是为了应对中国所谓“有关强制美国技术和知识产权转让的不公平贸易行为”。这一举动将可能使中国出口至美国的多种产品受到影响。
  • “左滑右滑”可能侵权了!Tinder对探探等app提起诉讼

    Bruce“左滑不喜欢,右滑喜欢”——不少80后、90后甚至00后的小伙伴都玩过或听说过一款名为“探探”的社交软件,而左滑右滑这种社交模式便直接源自美国的“Tinder”这款app。
  • 北京市高级人民法院侵害著作权案件审理指南

    4月20日,北京市高级人民法院发布《侵害著作权案件审理指南》(下称《审理指南》)。《审理指南》共计2万余字、十一章,内容包括基本规定、著作权权利客体、权利归属的审查,侵害著作人身权、财产权、邻接权的认定,抗辩事由的审查,法律责任的确定,侵害信息网络传播权、影视作品著作权、计算机软件著作权的认定等。 《审理指南》规定,审理侵害著作权案件,在行使裁量权时,应当加大对著作权的保护力度,鼓励作品的创作,
  • 判了!三星被判向苹果支付5.386亿美元赔偿

    美国加利福尼亚北区联邦法院一个陪审团,当地时间2018年5月24日一致认为,因侵犯涵盖智能手机技术外观设计专利和发明专利,三星应支付苹果共计5.386亿美元损害赔偿金。