Microsoft、Linux、Google 和 Apple 已开始释出修补更新来解决资安研究人员发现并命名为“Meltdown”和“Spectre”的处理器设计漏洞。以下是有关这些漏洞您该知道的事情。
“Meltdown”和“Spectre”是什么?
Meltdown 是一个编号为 CVE-2017-5754 的漏洞,可让骇客以系统权限存取应用程序与操作系统所用到的某些内存。Meltdown 影响的是 Intel 处理器。
Spectre 是编号 CVE-2017-5753 与 CVE-2017-5715 两个漏洞的统称,可让骇客窃取系统核心/快取档案内的资料,或是执行中程式储存在内存内的资料,例如:登入凭证(密码、金钥等)。根据报告指出,Spectre 漏洞影响的处理器包括:Intel、Advanced Micro Devices(AMD)及 Advanced RISC Machine(ARM)。
今日的处理器设计都具备“预测执行”功能,也就是说,它会“预测”接下来将要执行的工作,然后预先将这些工作排入序列,借此提高资料处理效率,进而提升应用程序/软件的执行速度。这是业界用来让处理器效能最佳化的一项技巧,但现在这项技巧却可能遭到骇客利用,经由这项漏洞来存取一些正常情况下受到隔离保护的资料。
冲击层面有多大?
据称自从 1995 年起所生产的 Intel 处理器皆受到 Meltdown 漏洞所影响,至于 Spectre 漏洞则是影响采用 Intel、AMD 和 ARM 处理器的装置。Meltdown 漏洞跟提升权限的机制有关,Spectre 则是关于应用程序在内存内的敏感资料可能遭到存取。
潜在的冲击层面相当广泛:台式电脑、笔记型电脑、智能手机等,凡是采用受影响的处理器,都可能发生未经授权的资料存取与窃盗。此外,凡是使用前述处理器的云端运算、虚拟环境、使用者共用服务器等资料中心和企业环境,也都受到影响。
另外值得注意的是,Windows 和 Linux 操作系统目前释出的修补更新,据称可能降低 5% 至 30% 效能,视工作负载而定。
Google 的 Project Zero 团队已针对某些软件证明了漏洞攻击的可行性(概念验证)。所幸,Intel 和 Google 目前尚未看到真正利用这些漏洞的攻击。
问题解决了吗?
Microsoft 已抢先在每月定期更新之前发出安全公告与安全建议来解决 Windows 10 系统可能面临的上述问题。至于 Windows 7 和 Windows 8 的修补更新则预定在 1 月 9 日的每月定期更新释出。此外,Microsoft 也针对用户端和服务器发布了相关的建议和最佳实务原则。
Google 已针对可能受到影响的基础架构与产品(YouTube、Google Ads、Chrome 等)推出防范措施。同时也发表了 Android 的安全修补更新(Security Patch Level)来防范可能利用 Meltdown 和 Spectre 漏洞的攻击。此外,更将在 1 月 5 日针对 Android 另外释出一个独立的安全更新。请注意,由于 Android 系统的更新需经由 OEM 厂商取得,因此使用者必须根据自己的手机厂牌洽询相关厂商。Nexus 和 Pixel 装置则可自动下载更新。
Apple 的 macOS 操作系统据称在 10.13.2 当中已经修补了相关漏洞。此外,64 位元的 ARM 核心也已获得更新。VMWare 也发布了自己的安全建议。Mozilla 团队已证实骇客可能经由浏览器发动攻击,因此也推出了 Firefox 57 来解决相关漏洞。
(本文转载自资安趋势部落格;首图来源:Flickr/Yuri Samoilov CC BY 2.0)
延伸阅读:
- 苹果全产品遭芯片漏洞波及,急释更新补救
- Intel 处理器“有鬼”,Google 说明旗下 Android、Chrome 浏览器、Chromebook 等更新方案
