這兩天,包括英特爾(Intel)、AMD、Arm等主要CPU大廠相繼曝出重大處理器漏洞,且可能會造成敏感性資料外泄,而引起軒然大波。幾乎可以肯定,所有PC系統和智慧手機都受到漏洞影響。目前針對Meltdown:Linux、Windows和macOS都已經採取了補丁措施,對應最新OS版本的補丁都已經到位;但對於Spectre:暫時還沒有明確的解決辦法和防護措施。

美國電腦網路應急中心(CERT)也罕見大動作發出漏洞通告,並提出警告,認為此漏洞將可能導致旁路攻擊帶來重大安全風險,建議使用者除了及時更新系統外,最好能全部換掉受影響的CPU,改用其他沒有安全風險的CPU。

CERT還列出目前經已證實受影響的CPU廠牌和主要OS廠商:

20180108NT01P1

美國CERT表示,這次出現的CPU漏洞,主要是由於CPU架構設計缺陷所造成的,可能導致出現熔斷(Meltdown)和幽靈(Spectre)兩個漏洞的旁路攻擊。別有用心的攻擊者能夠以用戶許可權執行代碼,從而造成各種影響,例如讀取受保護的內核記憶體和繞過KASLR。

20180108NT01P2 Meltdown漏洞直接打破核心記憶體的保護機制,允許惡意程式碼直接訪問這塊敏感記憶體;Spectre漏洞則通過篡改其他應用程式的記憶體,欺騙它們去訪問核心記憶體的位址。它們的目的都是獲取核心記憶體裡儲存的敏感內容,只是實現的手段稍有差別。

於是到了各家CPU廠商發文「解決問題」的時候了,電子技術設計(EDN)中國版整理了各大廠商的說法:

Arm:多型號手機中槍需補丁

Arm在官網上列出了受漏洞影響的處理器產品,包括Cortex-R7、R8、A8、A9、A15、A17、A57、A72、A73、A75。其中A8、A9、A15處理器被用於舊款蘋果(Apple)iOS、Nvidia Tegra、三星(Samsung)Exynos設備,以及索尼(Sony)PlayStation Vita上,過去5年間,它們也出現在某些Google品牌手機和其他使用高通(Qualcomm)Snapdragon晶片的手機上。

ARM正在指導Android和「其他作業系統」使用者從其設備的作業系統提供商處尋找補丁,同時為Linux提供ARM開發的「軟體措施」。Google已經發佈了Android產品補丁,但其他Android設備正在等待供應商的補丁。

Intel:週末前更新90%的產品

Intel發文澄清,此次漏洞並沒有媒體報導的那麼嚴重,雖然可能會導致敏感資料外泄,但使用者保存的資料,並不會因此遭到惡意破壞、修改或刪除。

在最新的公告中,Intel稱目前已經發佈了過去5年內推出的大多數處理器產品的更新,到週末預計將完成過去5年內推出的處理器產品中90%的產品更新發佈。Intel堅持認為,這些更新對性能的影響很大程度上取決於工作負載,對於一般電腦使用者來說影響不大。

另外,Intel的官方聲明裡確認,打Meltdown補丁會產生性能損失,幅度暫時不能確定,不過在較老的CPU上,性能倒退會更加明顯。視工作負載的種類不同,這個幅度也許能忽略不計,也可能會嚴重到直接減半。

蘋果:OS已更新,沒有受攻擊實例

蘋果也發佈聲明,確認所有Mac和iOS設備都受到Meltdown和Spectre漏洞影響,但目前還沒有已知的客戶受攻擊實例。

目前,蘋果已經發佈iOS 11.2、macOS 10.13.2和tvOS 11.2版本更新,以修復漏洞。同時,Safari的相關也會儘快發佈,以解決Spectre漏洞帶來的影響。

這份聲明沒有清楚說明舊版本的iOS和Mac中是否已經解決Meltdown和Spectre帶來的問題。但是,由於macOS 10.13.2新版本發佈時,也發佈了舊版macOS的安全更新,因此Sierra和El Capitan的修復方案也指日可待。蘋果表示,即將發佈的Safari修復方案不會對Speedometer和 ARES-6測試「可測量的影響」,且對JetStream benchmark的影響也不到2.5%。

AMD:自家架構沒漏洞

AMD堅持自家採用的是和其他家不同的架構設計,預設就不允許記憶體參照,可防止較低許可權模式存取較高許可權的資料,因此能免於這波處理器漏洞的攻擊。在特定條件下,自家CPU遭到漏洞攻擊的風險為零。

Google:大部分產品不受影響

Google聲稱在去年就發現了被稱作Meltdown和Spectre的漏洞,並迅速通知了Intel、AMD和ARM。不過Meltdown已經在macOS、Linux和Windows上被修復,而Spectre則無解。不過Google表示自己旗下的產品基本不會受到漏洞影響。

Android方面,Google表示Meltdown和Spectre很難對現有的主流Android設備構成影響;Chrome方面,當前的Chrome 63已經包含一個稱為「網站隔離」的功能,會強迫每個網站獨立儲存自己的資料,不過也顯著增加Chrome記憶體佔用率;基於Intel的ChromeOS,只要正在使用3.18或者4.4 Linux核心的都已經收到了保護;基於Arm架構的Chromebook則無需擔心這些問題。

至於Google的其他產品,如Google Home、Google Wi-Fi,以及OnHub路由器都不會受到漏洞影響;而線上服務,比如Blogger、YouTube和搜尋引擎等,已經受到了保護。專業和企業工具,例如Cloud Datalab和Compute Engine都已經被修復,但是終端使用者也需要同時更新自己的產品。

小結

這波漏洞突如其來,看起來是一場波及21世紀以來所有運算設備的超級大災難,但因為它的發現和應對都在可控制的環境內發生,所以尚無社會的攻擊損失報告出現。儘管Meltdown和Spectre漏洞資訊是近期才曝發,但是Intel、蘋果、Linux和微軟(Microsoft)等主要作業系統廠商在幾個月前就已經知道這些問題,並已提前為漏洞修復做了準備。

EDN中國版編輯分析,其被利用的風險還是很低的,攻擊方法還是依賴於本地運行的惡意軟體,只要使用者保持軟體及時更新、不要點擊可疑的連結或下載可疑軟體,基本商不會發生什麼事。