Created: 2018-02-02 07:30:35
【2018年1月24日更新】
1月22日星期一,英特爾(Intel)發表聲明,搭載Broadwell與Haswell處理器的用戶更新修補程式後造成系統重新啟動,英特爾(Intel)正在測試新的修補程式,並建議用戶、雲端、作業系統、軟體等相關業者暫緩更新。 ESET全系到防毒軟體及企業資安解決方案不受到這些更新的影響並建議個人(家用)或企業用戶使用最新版本,不管CPU漏洞更新的狀態如何,ESET資安專家建議持續關注英特爾(Intel)及其他供應商的更新訊息。
【2018年1月5日更新】
微軟已於2018年1月3日星期三對個人及企業釋出安全更新(Security Advisory 18002),針對目前CPU中所存在的重大Windows安全漏洞提供解決方案。同日,ESET也即時向全體用戶發佈了最新病毒碼和反間諜模組更新至1533.3版,確保ESET全系到防毒軟體及企業資安解決方案不會出現因微軟更新所發生之相容性問題。
時間才剛進入2018年的開始,多年來用於個人電腦的英特爾(Intel)處理器,即驚爆重大安全漏洞,同時也波及到AMD處理器,因而引發了廣大的關注及討論。此次爆出的漏洞範圍涵蓋之廣,從平板電腦、智慧手機中的ARM架構處理器,到超級電腦中採用的IBM高階處理器的全系列產品等皆無一倖免。
這個漏洞容許在電腦上執行的程式,包含一般應用程式或是在瀏覽器執行的Javascript,以某種程度辨識受保護的系統核心記憶體布局或是內容。使用者可能在瀏覽網頁的同時,網頁的Javascript程式就辨識了核心記憶體的內容,而剛好這些內容包含了一些諸如個人的密碼、登入金鑰或是硬碟檔案快取等敏感資訊。
作業系統開發商、虛擬機廠商,甚至雲端服務的公司都相繼開發出修正更新,以防範以上所述之漏洞,但是這樣的修補卻會造成效能的低落。英特爾(Intel)公司宣稱,對多數用戶而言,性能下降並不明顯,但已有Linux用戶測出性能下降幅度可達5-30%,具體狀況則視電腦本之應用為何。
從2018年1月2日首次被爆出漏洞,接著處理器廠商AMD宣佈,自家處理器不受影響,但Google和微軟指出,AMD處理器也在此影響範圍之內,隨後,AMD發佈了澄清聲明。雖AMD和Nvidia兩家公司都宣佈,自家圖形處理器不受以上漏洞影響,但Nvidia仍針對受漏洞影響的作業系統,發佈了產品驅動的更新程式。Qualcomm也對外承認,其CPU也受到影響。期間微軟也有請用戶注意,這並非是Windows系統所獨有的問題,同時也影響到Android、Chrome作業系統、iOS及MacOS系統。Red Hat也提到IBM的高階處理器也存在此類漏洞,對此,IBM在之後也已確認。虛擬機廠商VMware和Xen皆在事件爆發之後陸續發佈了相關建議措施,Amazon亦是如此。
但作業系統和處理器更新是一項極其複雜的作業,並非所有更新程序都能夠順利發佈。1月9日,微軟就因為遇到相容性問題,暫停向部分舊款AMD處理器發佈Windows更新。1月13日,戴爾、聯想和VMware也因為安裝更新後出現問題的用戶反應,暫停發送更新程式。
受漏洞影響的CPU品牌較為複雜,依兩個漏洞Meltdown 和 Spectre來做區分, Meltdown漏洞僅限於英特爾處理器,而Spectre則影響到AMD、ARM、IBM、英特爾及其他處理器。
最後ESET資安專家建議,對抗無法預期的軟體或系統漏洞所產生的已知或未知的資安威脅,選擇專業且知名的資安品牌或解決方案來做防護或抵禦是很重要的。
受漏洞影響的廠商列表及其各自建議措施和更新發佈聲明,整理至以下原文出處: https://www.welivesecurity.com/2018/01/05/meltdown-spectre-cpu-vulnerabilities/