Microsoft、Linux、Google 和 Apple 已開始釋出修補更新來解決資安研究人員所發現並命名為「Meltdown」和「Spectre」的處理器設計漏洞。以下是有關這些漏洞您該知道的事情:
「Meltdown」和「Spectre」是什麼?
Meltdown 是一個編號為 CVE-2017-5754 的漏洞,可讓駭客以系統權限存取應用程式與作業系統所用到的某些記憶體。Meltdown 所影響的是 Intel 處理器。
Spectre 是編號 CVE-2017-5753 與 CVE-2017-5715 兩個漏洞的統稱,可讓駭客竊取系統核心/快取檔案內的資料,或是執行中程式儲存在記憶體內的資料,例如:登入憑證 (密碼、金鑰等等)。根據報告指出,Spectre 漏洞所影響的處理器包括:Intel、Advanced Micro Devices (AMD) 及 Advanced RISC Machine (ARM)。
今日的處理器設計都具備「預測執行」功能,也就是說,它會「預測」接下來將要執行的工作,然後預先將這些工作排入佇列,藉此提高資料處理效率,進而提升應用程式/軟體的執行速度。這是業界用來讓處理器效能最佳化的一項技巧,但現在這項技巧卻可能遭到駭客利用,經由這項漏洞來存取一些正常情況下受到隔離保護的資料。
衝擊層面有多大?
據稱自從 1995 年起所生產的 Intel 處理器皆受到 Meltdown 漏洞所影響,至於 Spectre 漏洞則是影響採用 Intel、AMD 和 ARM 處理器的裝置。Meltdown 漏洞跟提升權限的機制有關,Spectre 則是關於應用程式在記憶體內的敏感資料可能遭到存取。 繼續閱讀
2017 年 12 月初,
