Microsoft、Linux、Google 和 Apple 已開始釋出修補更新來解決資安研究人員所發現並命名為「Meltdown」和「Spectre」的處理器設計漏洞。以下是有關這些漏洞您該知道的事情:
「Meltdown」和「Spectre」是什麼?
Meltdown 是一個編號為 CVE-2017-5754 的漏洞,可讓駭客以系統權限存取應用程式與作業系統所用到的某些記憶體。Meltdown 所影響的是 Intel 處理器。
Spectre 是編號 CVE-2017-5753 與 CVE-2017-5715 兩個漏洞的統稱,可讓駭客竊取系統核心/快取檔案內的資料,或是執行中程式儲存在記憶體內的資料,例如:登入憑證 (密碼、金鑰等等)。根據報告指出,Spectre 漏洞所影響的處理器包括:Intel、Advanced Micro Devices (AMD) 及 Advanced RISC Machine (ARM)。
今日的處理器設計都具備「預測執行」功能,也就是說,它會「預測」接下來將要執行的工作,然後預先將這些工作排入佇列,藉此提高資料處理效率,進而提升應用程式/軟體的執行速度。這是業界用來讓處理器效能最佳化的一項技巧,但現在這項技巧卻可能遭到駭客利用,經由這項漏洞來存取一些正常情況下受到隔離保護的資料。
衝擊層面有多大?
據稱自從 1995 年起所生產的 Intel 處理器皆受到 Meltdown 漏洞所影響,至於 Spectre 漏洞則是影響採用 Intel、AMD 和 ARM 處理器的裝置。Meltdown 漏洞跟提升權限的機制有關,Spectre 則是關於應用程式在記憶體內的敏感資料可能遭到存取。
潛在的衝擊層面相當廣泛:桌上型電腦、筆記型電腦、智慧型手機等等,凡是採用受影響的處理器,都可能發生未經授權的資料存取與竊盜。此外,凡是使用前述處理器的雲端運算、虛擬環境、使用者共用伺服器等資料中心和企業環境,也都受到影響。
另外值得注意的是,Windows 和 Linux 作業系統目前所釋出的修補更新,據稱可能降低 5% 至 30% 效能,視工作負載而定。
Google 的 Project Zero 團隊已針對某些軟體證明了漏洞攻擊的可行性 (概念驗證)。所幸,Intel 和 Google 目前尚未看到真正利用這些漏洞的攻擊。
問題解決了嗎?
Microsoft 已搶先在每月定期更新之前發出安全公告與安全建議來解決 Windows 10 系統可能面臨的上述問題。至於 Windows 7 和 Windows 8 的修補更新則預定在 1 月 9 日的每月定期更新釋出。此外,Microsoft 也針對用戶端和伺服器發布了相關的建議和最佳實務原則。
Google 已針對可能受到影響的基礎架構與產品 (YouTube、Google Ads、Chrome 等等) 推出防範措施。同時也發表了 Android 的安全修補更新 (Security Patch Level) 來防範可能利用 Meltdown 和 Spectre 漏洞的攻擊。此外更將在 1 月 5 日針對 Android 另外釋出一個獨立的安全更新。請注意,由於 Android 系統的更新需經由 OEM 廠商取得,因此使用者必須根據自己的手機廠牌洽詢相關廠商。Nexus 和 Pixel 裝置則可自動下載更新。
Apple 的 macOS 作業系統據稱在 10.13.2 當中已經修補了相關漏洞。此外,64 位元的 ARM 核心也已獲得更新。VMWare 也發布了自己的安全建議。Mozilla 團隊已證實駭客可能經由瀏覽器發動攻擊,因此也推出了 Firefox 57 來解決相關漏洞。