intel CEO Brian Krzanich表示,公司不會召回受Meltdown(災難)與Spectre(幽靈)漏洞影響的晶片的產品。同時其表示過去五年中,生產的九成處理器,今個星期將會有軟件的更新解決漏洞。intel稱這Meltdown和Spectre漏洞,比1994年的FDIV更容易解決。intel稱這漏洞被媒體刻意解讀,但真正影響並沒想像中嚴重。並在未來幾個星期,為更早前生產處理器提供修補漏洞的更新。
另一邊的蘋果就表示,已經確認所有的Mac系統與iOS設備皆受到intel晶片設計中的安全漏洞影響,而且已經發佈補救的緊急更新。提供給iOS 11.2和MacOS 10.13.2的用戶以抵禦Meltdown漏洞;同時,也在Safari中更新,以防範Spectre漏洞。另外,蘋果智能手錶Apple Watch的操作系統,則不受影響,用戶不需要擔心。
所謂的Meltdown(災難)與Spectre(幽靈)漏洞,前者可以讓低權限用戶級別的應用程式訪問系統級,後者則可以騙過安全檢查程序KASLR(Kernel Address Space Layout Randomization ),使應用程序訪問任意位置。現時全球各種系統軟件或硬件,皆受這漏洞的影響,當中包括Intel、ARM、AMD、Apple、Google、Linux Kernel、Microsoft、Mozilla、微軟Azure、亞馬遜伺服器、阿里雲和騰訊雲以及其他等等。美國CERT電腦網路危機處理中心,更呼籲最好將問題CPU全換掉。
至於負責揭露這CPU重大漏洞的Google Project Zero,就點破intel、AMD、ARM處理器產品都受到影響。並表示這些問題早已在2017年6月1日,向Intel、AMD、ARM回報,但直到現在才被公開。目前已知的漏洞版本有3個,包括:一、繞過邊界檢查;二、分支目標注入;三、惡意資料快取載入。 前兩種漏洞版本屬於Spectre,後者為Meltdown。透過概念性驗證測試了Intel Haswell Xeon CPU、AMD FX CPU、AMD PRO CPU和ARM Cortex A57等處理器:發現於第一種漏洞原理下,黑客在不需要通過任何權限下,就能在不當的「預測執行」程式中讀取數據。至於第二種漏洞和第三種漏洞,則只在Intel Haswell Xeon CPU出現。
但到目前,intel就澄清影響沒有想像中嚴重,認為只是可能會有導致部分機密資料外洩,並不影響用戶保存的數據,用戶資料也不會全數受到惡意破壞。而AMD則表示因為採用不同的架構設計,因此可防止較低權限模式存取較高權限的資料。只有ARM列出受影響的處理器,詳情可看之前報導:
據最新Intel公開內部測試數據中,系統修補漏洞後,筆記電腦處理器造成的效能損失最多4%,而伺服器處理器則約有2%的降速。
來源:cnet,intel,Google,Apple,pc3mag
