关于 Intel 处理器的“Meltdown”与“Spectre”漏洞,我们该知道些什么?

作者 | 发布日期 2018 年 01 月 06 日 7:47 | 分类 处理器 , 网络 , 资讯安全
13334048894_db638d5080_k-624x416

Microsoft、Linux、Google 和 Apple 已开始发布修补更新来解决信息安全研究人员发现并命名为“Meltdown”和“Spectre”的处理器设计漏洞。以下是有关这些漏洞您该知道的事情。



“Meltdown”和“Spectre”是什么?

Meltdown 是一个编号为 CVE-2017-5754 的漏洞,可让黑客以系统权限存取应用程序与操作系统所用到的某些存储器。Meltdown 影响的是 Intel 处理器。

Spectre 是编号 CVE-2017-5753 与 CVE-2017-5715 两个漏洞的统称,可让黑客窃取系统核心/快取档案内的资料,或是执行中程序储存在存储器内的资料,例如:登入凭证(密码、金钥等)。根据报告指出,Spectre 漏洞影响的处理器包括:Intel、Advanced Micro Devices(AMD)及 Advanced RISC Machine(ARM)。

今日的处理器设计都具备“预测执行”功能,也就是说,它会“预测”接下来将要执行的工作,然后预先将这些工作排入序列,借此提高资料处理效率,进而提升应用程序/软件的执行速度。这是业界用来让处理器效能最佳化的一项技巧,但现在这项技巧却可能遭到黑客利用,经由这项漏洞来存取一些正常情况下受到隔离保护的资料。

冲击层面有多大?

据称自从 1995 年起所生产的 Intel 处理器皆受到 Meltdown 漏洞所影响,至于 Spectre 漏洞则是影响采用 Intel、AMD 和 ARM 处理器的设备。Meltdown 漏洞跟提升权限的机制有关,Spectre 则是关于应用程序在存储器内的敏感资料可能遭到存取。

潜在的冲击层面相当广泛:台式机、笔记本电脑、智能手机等,凡是采用受影响的处理器,都可能发生未经授权的资料存取与窃盗。此外,凡是使用前述处理器的云端运算、虚拟环境、使用者共用服务器等数据中心和企业环境,也都受到影响。

另外值得注意的是,Windows 和 Linux 操作系统目前发布的修补更新,据称可能降低 5% 至 30% 效能,视工作负载而定。

Google 的 Project Zero 团队已针对某些软件证明了漏洞攻击的可行性(概念验证)。所幸,Intel 和 Google 目前尚未看到真正利用这些漏洞的攻击。

问题解决了吗?

Microsoft 已抢先在每月定期更新之前发出安全公告安全建议来解决 Windows 10 系统可能面临的上述问题。至于 Windows 7 和 Windows 8 的修补更新则预定在 1 月 9 日的每月定期更新发布。此外,Microsoft 也针对用户端服务器发布了相关的建议和最佳实务原则。

Google 已针对可能受到影响的基础架构与产品(YouTube、Google Ads、Chrome 等)推出防范措施。同时也发布了 Android 的安全修补更新(Security Patch Level)来防范可能利用 Meltdown 和 Spectre 漏洞的攻击。此外,更将在 1 月 5 日针对 Android 另外发布一个独立的安全更新。请注意,由于 Android 系统的更新需经由 OEM 厂商取得,因此使用者必须根据自己的手机厂牌洽询相关厂商。Nexus 和 Pixel 设备则可自动下载更新。

Apple 的 macOS 操作系统据称在 10.13.2 当中已经修补了相关漏洞。此外,64 位的 ARM 核心也已获得更新。VMWare 也发布了自己的安全建议。Mozilla 团队已证实黑客可能经由浏览器发动攻击,因此也推出了 Firefox 57 来解决相关漏洞。

(本文转载自信息安全趋势博客;首图来源:Flickr/Yuri Samoilov CC BY 2.0)

延伸阅读:

如需获取更多资讯,请关注微信公众账号:Technews科技新报

Technews科技新报

跨足科技、电脑、移动设备与能源产业新闻的网络媒体,为读者提供各式实用科技资讯。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。
关键字: , , ,

直接使用新浪微博发表评论

 

发表评论