繼一月份發現 Meltdown 和 Spectre 兩個影響 Intel 處理器的漏洞之後,資安研究人員又發現了八個 Intel 處理器的新漏洞。隨著 Google Project Zero 的 90 天技術細節與解決方案公布緩衝期已於 5 月 7 日到期,專家指出這些新的漏洞 (命名為「Spectre Next Generation」或「Spectre NG」) 基本上與先前的 Spectre 類似。其中有四個漏洞被認定為「高」嚴重性,其餘的則為「中」嚴重性。
[延伸閱讀:關於 Intel 處理器的 Meltdown 與 Spectre 漏洞您該知道些什麼?]
這些漏洞每一個都會有對應的 Common Vulnerability Enumerator (CVE) 編號。Intel 的修補更新將分成兩個階段實施,第一階段在 5 月份,第二階段將在 8 月份。此外,Linux 開發人員也正在針對 Spectre 漏洞研擬對策,而 Microsoft 也將釋出選擇性的修補更新來應對。此外,Microsoft 也提供 25 萬美元的獎金來懸賞更多 Spectre 相關的未知漏洞。日本 Softbank 旗下 ARM Holdings 公司的 Advanced RISC Machine (ARM) CPU 也被懷疑可能受這批新漏洞影響,至於 Advanced Micro Devices (AMD) 的處理器是否受到影響,目前仍有待檢驗。
[延伸閱讀:危險的一知半解:了解 Meltdown 和 Spectre]
Spectre NG 與先前已修補的漏洞一樣,都能讓駭客有機會竊取記憶體中的敏感資料 (例如密碼)。不過,其中一個新的漏洞據稱可以簡化攻擊程序,避開系統限制,在虛擬機器 (VM) 當中執行一段漏洞攻擊程式碼來直接攻擊執行虛擬機器的主機,或是攻擊同一台主機上的其他虛擬機器。
[延伸閱讀:利用 CPU 效能計數器來偵測 Meltdown 和 Spectre 漏洞攻擊]
儘管使用者因害怕系統效能下降而不太願意使用先前發布的零星修補更新來解決這些問題,但 Intel 已發表一份聲明表示將解決這些問題,並且鼓勵所有使用者皆更新系統。如同應對一月份的 Spectre 和 Meltdown 漏洞一樣,以下建議依然適用:
- 從可靠的廠商取得韌體更新,並定期檢是否有安全更新。
- 熟悉必要的相關系統組態設定以啟用裝置保護功能。
- 確認自己所安裝的資安軟體是否支援當前系統版本。
趨勢科技 TippingPoint™ 客戶可透過 MainlineDV 過濾規則來防範 Spectre 漏洞 (消費者和企業皆適用)。
2018 年 5 月 7 日更新:
根據最新公布的資訊,Intel 要求暫緩公布這批漏洞的技術細節,而 Google Project Zero 似乎也已同意暫緩。由於受影響的系統數量龐大,該公司看來無法在 5 月 7 日之前順利推出修補更新,因此打算在 5 月 21 日或 7 月 10 日再發布更新,並公布至少兩個漏洞的細節。可能受到影響的處理器有:Core 處理器、Xeon 處理器、以 Atom 為基礎的 Pentium 處理器、2013 年之後發表的 Atom 和 Celeron 處理器。因此,所影響範圍包括:桌上型電腦、筆記型電腦、智慧型手機以及其他嵌入式裝置。預定 8 月 14 日發布的修補更新,預料將解決可能影響雲端環境的最嚴重漏洞。此外,Intel 也將釋出硬體與軟體修正來讓其他製造商和開發商能夠實作。
原文出處:Spectre Next Generation: New Intel CPU Vulnerabilities Found