漏洞危机未结束，英特尔芯片发现新漏洞变种

今年初，Google 安全团队 Project Zero 最早发现芯片漏洞 Meltdown（熔断）和 Spectre（幽灵），黑客可以直接读取核心内存，拿走敏感信息。漏洞波及英特尔近十年的核心处理器产品，也意味着影响几乎世界上所有的计算机设备。随后英特尔发布安全补丁，但问题至今还没有结束。

周一，英特尔和微软公开了一个新的漏洞变种，命名“变体 4 号（Variant 4）”。该漏洞与今年1月出现的 Spectre 和 Meltdown 漏洞属于同一类型，只不过通过另外的方法获取敏感信息。对许多现代计算芯片造成影响。

在一篇博客文章中，英特尔表示已经将变种 4 标记为“中级风险”，危险系数不高，和该漏洞有关的几个缺陷在此前的安全补丁中已经得到解决。目前他们没有检测到黑客利用变种 4 发起攻击，英特尔也承诺将在“未来数周”发布新的安全补丁。

史无前例的芯片漏洞被曝光后，计算机安全领域一直在关注可能发生的 Meltdown 和 Spectre 变体。5 月初一家德国计算机科学杂志报道称，已经有人发现了英特尔芯片的新一代漏洞，当时英特尔拒绝置评。

半年时间过去，这场波及全球上亿台计算机的漏洞事件并没有彻底解决。

两个漏洞利用了现代 CPU 架构中对程序指令进行预测执行的功能，攻击者可以通过权限较低的恶意程序，滥用预测执行功能访问高权限的内存，获得经过内存的所有信息。

简单来说就是计算机 CPU 的底层逻辑出现了漏洞，并且是硬件上的漏洞。几乎所有计算机芯片公司，包括英特尔、AMD 的 PC 及数据中心处理器、采用 ARM 架构的移动设备芯片、英伟达的显卡都要升级固件打上补丁。随后苹果、微软、Linux 核心开发组、亚马逊也都先后发布系统更新。

不过这也是治标不治本的方法。通过在软件上打补丁的方式会让处理器性能降低。根据英特尔的测算，运行在第 6、7、8 代酷睿处理器+固态硬盘的 Windows 10 电脑在 Office 工作效率、数字内容编辑和数据分析等场景下都有不同程度的性能下降。相比打补丁之前，下降幅度在 1-14% 之间。

MIT Technology View 预计事件影响至少有 30 亿个电脑芯片。大部分普通用户的电脑察觉不到这样微小的性能变化。但对于那些大规模采用英特尔处理器的数据中心和云服务商、出售计算性能的平台，比如亚马逊 AWS、微软 Azure、阿里云，这个影响就无法忽略了。