这两天,包括Intel、AMD、ARM 等主要 CPU 大厂相继曝出重大处理器漏洞,且可能会造成敏感数据外泄,而引发轩然大波。几乎可以肯定,所有PC系统和智能手机都受到漏洞影响。目前针对Meltdown:Linux、Windows和macOS都已经采取了补丁措施,对应最新OS版本的补丁都已经到位;但对于Spectre:暂时还没有明确的解决办法和防护措施。
美国计算机网络应急中心(CERT)也罕见大动作发出漏洞通告,并提出警告,认为此漏洞将可能导致旁路攻击带来重大安全风险,建议用户除了及时更新系统外,最好能全部换掉受影响的 CPU ,改用其他没有安全风险的 CPU 。
CERT 还列出目前经已证实受影响的 CPU 厂牌和主要 OS 厂商:
美国 CERT 中心表示,这次出现的 CPU 漏洞,主要是由于 CPU 架构设计缺陷所造成的,可能导致出现Meltdown(熔断)和Spectre(幽灵)两个漏洞的旁路攻击。别有用心的攻击者能够以用户权限执行代码,从而造成各种影响,例如读取受保护的内核内存和绕过 KASLR 。
图:Meltdown漏洞直接打破核心内存的保护机制,允许恶意代码直接访问这块敏感内存;Spectre漏洞则通过篡改其他应用程序的内存,欺骗它们去访问核心内存的地址。它们的目的都是获取核心内存里储存的敏感内容,只是实现的手段稍有差别。
于是到了各家 CPU 厂商发文公关的时候了,EDN电子技术设计整理了各大厂商的说法:
ARM在官网上列出了受漏洞影响的处理器产品,包括 Cortex R7、R8、A8、A9、A15、A17、A57、A72、A73、A75 。
其中A8,A9,A15处理器被用于老款苹果iOS、Nvidia Tegra、三星Exynos设备以及索尼的PlayStation Vita上,过去5年间,它们也出现在某些谷歌品牌手机和其他使用高通骁龙芯片的手机上。
ARM正在指导Android和“其他操作系统”用户从其设备的操作系统提供商处寻找补丁,同时为Linux提供ARM开发的“软件措施”。谷歌已经发布了Android产品补丁,但其他Android设备正在等待供应商的补丁。
Intel发文澄清,此次漏洞并没有媒体报导的那么严重,虽然可能会导致敏感资料外泄,但用户保存的数据,并不会因此遭到恶意破坏、修改或删除。
在最新的公告中,Intel称目前已经发布了过去五年内推出的大多数处理器产品的更新,到下周末预计将完成过去五年内推出的处理器产品中 90% 的产品更新发布。Intel坚持认为,这些更新对性能的影响很大程度上取决于工作负载,对于一般计算机用户来说影响不大。
另外,Intel的官方声明里确认,打Meltdown补丁会产生性能损失,幅度暂时不能确定,不过在较老的CPU上,性能倒退会更加明显。视工作负载的种类不同,这个幅度可能能忽略不计,也可能会严重到直接减半。
苹果也发布声明,确认所有 Mac 和 iOS 设备都受到 Meltdown 和 Spectre 漏洞影响,但目前还没有已知的客户受攻击实例。
目前,苹果已经发布 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 版本更新,以修复漏洞。同时,Safari 的相关也会尽快发布,以解决 Spectre 漏洞带来的影响。
这份声明没有清楚说明老版本的 iOS 和 Mac 中是否已经解决 Meltdown 和 Spectre 带来的问题。但是,由于macOS 10.13.2 新版本发布时,也发布了旧版 macOS 的安全更新,因此 Sierra 和 El Capitan 的修复方案也指日可待。 苹果表示,即将发布的 Safari 修复方案不会对 Speedometer 和 ARES-6 测试“可测量的影响”,且对 JetStream benchmark 的影响也不到2.5%。
AMD坚持自家采用的是和其他家不同的架构设计,预设就不允许记忆体参照,可防止较低权限模式存取较高权限的资料,因此能免于这波处理器漏洞的攻击。在特定条件下,自家 CPU 遭到漏洞攻击的风险为零。
谷歌声程在去年就发现了被称作 Meltdown 和 Spectre 的漏洞,并迅速通知了 Intel,AMD 和 ARM。不过 Meltdown 已经在 macOS,Linux 和 Windows 上被修复,而 Spectre 则无解。不过谷歌表示自己旗下的产品基本不会受到漏洞影响。
Android方面,谷歌表示 Meltdown 和 Spectre 很难对现有的主流 Android 设备构成影响;Chrome方面,当前的 Chrome 63 已经包含一个成为“站点隔离”的功能,会强迫每个网站独立储存自己的数据,不过也显著增加了 Chrome 的内存占用率;基于 Intel 的 ChromeOS,只要正在使用 3.18 或者 4.4 Linux 内核的都已经收到了保护;基于 ARM 架构的 Chromebook 则无需担心这些问题。
至于谷歌的其他产品,比如 Google Home,Google Wi-Fi 以及 OnHub 路由器都不会受到漏洞影响;而在线服务,比如 Blogger,YouTube 和搜索引擎等,已经受到了保护。专业和企业工具,比如 Cloud Datalab 和 Compute Engine 都已经被修复,但是终端用户也需要同时更新自己的产品。
这波漏洞突如其来,看起来是一场波及21世纪以来所有计算设备的超级大灾难,但因为它的发现和应对都在可控制的环境内发生,所以尚无社会的攻击损失报告出现。尽管 Meltdown 和 Spectre 漏洞信息是本周才曝出的,但是英特尔、苹果、Linux 和微软等主要操作系统厂商在几个月前就已经知道这些问题了,并已提前为漏洞修复做了准备。
EDN编辑分析,其被利用的风险还是很低的,攻击方法还是依赖于本地运行的恶意软件,只要用户保持软件及时更新、不要点击可疑的链接或下载可疑软件,基本没什么事。
最前沿的电子设计资讯
