关于 Intel 处理器的「Meltdown」与「Spectre」漏洞，我们该知道些什么？

Microsoft、Linux、Google 和 Apple 已开始释出修补更新来解决资安研究人员发现并命名为"Meltdown"和"Spectre"的处理器设计漏洞。以下是有关这些漏洞您该知道的事情。

Meltdown 是一个编号为 CVE-2017-5754 的漏洞，可让骇客以系统权限存取应用程式与作业系统所用到的某些记忆体。Meltdown 影响的是 Intel 处理器。

Spectre 是编号 CVE-2017-5753 与 CVE-2017-5715 两个漏洞的统称，可让骇客窃取系统核心／快取档案内的资料，或是执行中程式储存在记忆体内的资料，例如：登入凭证（密码、金钥等）。根据报告指出，Spectre 漏洞影响的处理器包括：Intel、Advanced Micro Devices（AMD）及 Advanced RISC Machine（ARM）。

今日的处理器设计都具备"预测执行"功能，也就是说，它会"预测"接下来将要执行的工作，然后预先将这些工作排入序列，藉此提高资料处理效率，进而提升应用程式／软体的执行速度。这是业界用来让处理器效能最佳化的一项技巧，但现在这项技巧却可能遭到骇客利用，经由这项漏洞来存取一些正常情况下受到隔离保护的资料。

据称自从 1995 年起所生产的 Intel 处理器皆受到 Meltdown 漏洞所影响，至于 Spectre 漏洞则是影响採用 Intel、AMD 和 ARM 处理器的装置。Meltdown 漏洞跟提升权限的机制有关，Spectre 则是关于应用程式在记忆体内的敏感资料可能遭到存取。

潜在的冲击层面相当广泛：桌上型电脑、笔记型电脑、智慧型手机等，凡是採用受影响的处理器，都可能发生未经授权的资料存取与窃盗。此外，凡是使用前述处理器的云端运算、虚拟环境、使用者共用伺服器等资料中心和企业环境，也都受到影响。

另外值得注意的是，Windows 和 Linux 作业系统目前释出的修补更新，据称可能降低 5% 至 30% 效能，视工作负载而定。

Google 的 Project Zero 团队已针对某些软体证明了漏洞攻击的可行性（概念验证）。所幸，Intel 和 Google 目前尚未看到真正利用这些漏洞的攻击。

Microsoft 已抢先在每月定期更新之前发出安全公告与安全建议来解决 Windows 10 系统可能面临的上述问题。至于 Windows 7 和 Windows 8 的修补更新则预定在 1 月 9 日的每月定期更新释出。此外，Microsoft 也针对用户端和伺服器发布了相关的建议和最佳实务原则。

Google 已针对可能受到影响的基础架构与产品（YouTube、Google Ads、Chrome 等）推出防範措施。同时也发表了 Android 的安全修补更新（Security Patch Level）来防範可能利用 Meltdown 和 Spectre 漏洞的攻击。此外，更将在 1 月 5 日针对 Android 另外释出一个独立的安全更新。请注意，由于 Android 系统的更新需经由 OEM 厂商取得，因此使用者必须根据自己的手机厂牌洽询相关厂商。Nexus 和 Pixel 装置则可自动下载更新。

Apple 的 macOS 作业系统据称在 10.13.2 当中已经修补了相关漏洞。此外，64 位元的 ARM 核心也已获得更新。VMWare 也发布了自己的安全建议。Mozilla 团队已证实骇客可能经由浏览器发动攻击，因此也推出了 Firefox 57 来解决相关漏洞。

（本文转载自资安趋势部落格；首图来源：Flickr/Yuri Samoilov CC BY 2.0）