2017年开始生产的多代AMD处理器发现了底层安全漏洞,研究人员把这个问题叫做“StackWump”。这事儿是德国CISPA的团队披露的,他们给AMD发了通报。StackWump这漏洞藏在处理器内部堆栈引擎的硬件电路设计里。正常情况下,这块电路是为了加速堆栈操作优化性能的,但研究人员发现它的同步机制有缺陷。通过给处理器发特定指令,攻击者能干扰堆栈指针的工作,导致数据流出问题。这种问题跟普通软件漏洞不一样,它是硬件逻辑本身设计出来的漏洞,所以常规的打补丁或者更新固件都没办法根治。可能得给BIOS和UEFI加个微码补丁才行,操作系统那边也得配合着上安全更新。 被影响的产品范围挺广的,从当年的Zen架构一直到最新的Zen 5架构处理器都有份。消费级的锐龙和服务器用的EPYC处理器都受影响。因为AMD在数据中心占了挺大的市场份额,这个漏洞可能会给云计算环境的安全带来麻烦。安全专家说这漏洞能干两件坏事:一种是让虚拟机里的用户通过漏洞突破隔离层,跑到宿主机上去;另一种是让普通用户直接把权限提到最高级,比如在Linux里变成root,在Windows里变成SYSTEM。这种攻击发生在处理器前端处理阶段,很多软件监测机制可能根本抓不到。 业内人士透露AMD那边正在评估怎么解决这个问题。可能的办法有好几种:第一种是通过BIOS或者UEFI的更新把微码补丁发下去;第二种是微软、Linux这些操作系统厂商出内核级别的防护更新;第三种是VMware、KVM这些虚拟化平台加一些额外的隔离检查;最后一种是终端安全产品能多识别出这种攻击模式。 在官方补丁出来之前,建议用AMD处理器的关键系统要多设访问控制,加强监控。特别是在虚拟机环境里要把网络分隔得更严格点。 这事儿又让大家想起以前的Spectre和Meltdown那些事儿。现在处理器越来越复杂了,性能虽然上去了但安全问题也跟着多起来。国家的专家说硬件供应链安全现在已经是网络安全体系里很重要的一块了。咱们国家在发展信息技术的时候得把芯片设计、制造、验证这一整套流程的安全评估机制建起来。 对于用户来说最重要的是别停更了。只有把硬件、固件、软件这全栈防御体系都建好,才能为数字经济发展把根筑牢。我们报社会一直盯着这漏洞怎么处理的后续消息和行业反应的。