聊聊CPU漏洞那点事

近日，Intel CPU被爆出存在安全漏洞问题，这一漏洞修补过程还可能会导致系统性能下降，最高下降幅度高达三成。即使是非Intel x86架构的产品也不能完全幸免，其他类型的处理器也有可能存在类似问题，只是几率低一些。

这么来看，全球几乎所有的手机、PC、笔记本、服务器、云计算等产品都会存在此类安全漏洞的风险。究竟是何方神圣，能让全球人民一起中招？小编就跟大家一起聊聊CPU漏洞那点事。

我们知道，一台电脑或手机的核心部件是CPU，所有的指令和数据都必须经过CPU的处理，才能变成我们玩的游戏画面或聊天界面。在CPU之上，还有BIOS、固件等底层软件，这些软件保证了电脑按照预定的顺序启动，并加载正确的硬件参数。再往上就是大家接触最多的操作系统软件了，我们平时用的软件都跑在操作系统上面。这次的漏洞问题很有可能就出在操作系统内核态和CPU之间的调用问题上。

根据Google Project Zero 和奥地利格拉茨技术大学等机构的研究人员披露，三个处理器高危漏洞分别编号为 CVE-2017-5753（Variant 1）、CVE-2017-5715（Variant 2）和 CVE-2017-5754（Variant 3），前两个漏洞被称为 Spectre，后一个漏洞被称为 Meltdown。

这次发现的漏洞允许攻击者使用预测执行技术获取内核内存数据，也就是说，普通用户程序（如数据库程序、浏览器中的JavaScript等）可以利用该漏洞获取受保护内核内存区域的布局结构或数据内容，如果这个程序恰好又是病毒的话，那整个系统就会受到危害。

事件发生之后，业界各厂家纷纷发布声明或表态，有的说自己跟此事无关、有的打保票能通过补丁搞定漏洞，姑且不论补丁可能带来的系统性能下降，必要的安全措施还是非常必要的。

作为全球领先的信息与通信（ICT）解决方案供应商，华为在第一时间就跟业界伙伴一起商讨问题的解决办法，并发布了多份公告和排查指南。

▷华为针对该漏洞发布安全公告：

http://www.huawei.com/cn/psirt/security-notices/huawei-sn-20180104-01-intel-cn

▷华为网络安全技术社区通报及排查指导

华为经过十多年的摸索，已建立起一套完整的网络安全治理架构，从流程、技术、制度等多方面保证客户的网络安全。以服务器为例，华为自主研发了服务器除CPU以外的所有主要芯片，消除芯片端的信息安全隐患。

其次，在服务器的底层软件平台上，华为也掌握了100%的BIOS源代码并进行二次代码开发，不存在二进制库文件、封装文件、嵌套文件等不可见源码的“黑箱”，消除可能的漏洞。

当我们越来越重视企业ICT系统与整体架构的安全性时，偶尔出现的各类漏洞难免会“从天而降”，但只要及时有效的应对，就可以减轻甚至消除其带来的危害。这其中，练好企业信息安全的内功才是最重要的。