近日,Google 安全團隊 Project Zero 公佈了多個高危漏洞,稱這些漏洞幾乎影響到了市面上所有的微處理器,由於漏洞與硬件相關,因此不同的操作系統都要從內核層面對該漏洞進行修復,最高可能會使處理器的性能降低 30%。
驚天漏洞是怎麼一回事?
為了確保計算機的安全,在操作系統中,不同的程序有着不同的安全權限。其中,內核是最基本的程序,為系統提供一些必要的基礎功能。因此,在 Linux、Windows 等操作系統中,內核會常駐系統內存,並擁有最高級別的權限。
(圖片來源:Ars Technica)
最近曝光的多個漏洞,就跟內核息息相關。這些漏洞最早可以追溯到 1995 年。Project Zero 的研究員 Jann Horn 稱:
引用惡意程序可以通過這些漏洞來訪問本應無法訪問系統內存,從而竊取存儲在系統中的敏感信息。測試表明,通過該漏洞可以讓虛擬主機訪問物理主機的內存,甚至還能訪問其他虛擬主機的內存。
這些高危漏洞被歸為兩類,分別命名為「Meltdown」(熔燬)和「Spectre」(幽靈)。Meltdown 能夠打破應用程序與操作系統之間的基本隔閡,讓惡意程序能夠訪問系統內存;而 Spectre 則可以通過欺騙其他應用程序來訪問系統內存的任意位置。Spectre 相比 Meltdown 更復雜、更難運用,但也更不好被解決。
(圖片來源:Meltdown Attack)
這些漏洞會產生什麼影響?
目前,Meltdown 只在英特爾處理器中得到驗證,而 Spectre 由於涉及微處理器的一項常用技術,因此波及範圍更廣。Project Zero 的測試結果表明,無論是 AMD、ARM 還是英特爾的處理器都難以倖免,圍繞這些處理器打造的操作系統和硬件設備也會受到影響。
換言之,近二十年來,常見的電腦、雲服務器、智能手機都有可能被利用,無論是 Windows 還是 macOS 又或者是 Linux 系統。
(圖片來源:IT Pro)
紅帽操作系統平台副總裁 Denise Dumas 表示:
引用簡而言之,這些漏洞可能會使惡意行為者從任何計算機,移動設備或雲部署中竊取敏感信息。
要解決這些漏洞,目前的辦法是操作系統廠商更新安全補丁,將內核常駐的系統內存與普通進程完全分開,但這將導致處理器的性能降低 5% 到 30%。
Linux 內核開發人員 Dave Hansen 稱,Linux 內核中進行的修補將會影響所有的操作系統工作,大部分軟件運行將會出現「一位數下滑」(10% 以下),典型的性能下降幅度為 5%;英國媒體 The Register 則認為,目前的修復方式會讓處理器性能降低 5% 到 30%。
廠商們是怎麼迴應的?
漏洞曝光之後,各大處理器廠商都已先後作出迴應。
AMD 表示,由於其處理器架構與英特爾有所不同,因此受到這些漏洞的影響幾乎為零。
不過,英特爾的説法和 AMD 則有所出入。英特爾認為,根據迄今的分析,許多類型的計算設備(有來自許多不同供應商的處理器和操作系統)都會容易受到類似攻擊。但這些攻擊沒有可能損壞、修改或刪除數據,也不會對一般用户的計算機性能造成顯著影響。尤其是 Skylake 之後的產品,受到本次漏洞的影響微乎其微。
同時,英特爾還表示,已經與AMD、ARM、蘋果、微軟等技術公司密切合作,以制定用於全行業的方法,迅速、有建設性地解決這一問題。
(圖片來源:Fortune)
ARM 則發表聲明稱,確實有部分 Cortex-A 處理器受到影響,Cortex-A 廣泛用於手機 SoC 平台,高通、三星、聯發科都採用了相關的技術。ARM 的公關總監稱,ARM 一直在與英特爾和 AMD 合作,以尋求解決辦法。
普通消費者們該怎麼辦?
目前,並沒有黑客利用該漏洞進行攻擊的案例出現,而不少廠商都已針對這些漏洞提出了解決方案:
- Linux 發佈了 KAISER 補丁
- 蘋果則是在 macOS 10.13.2 中修復了該漏洞
- Google 號稱最新版本的 Android 系統不受影響
- 微軟 Windows 10 也緊急發佈了更新補丁 KB4056892,將強制安裝
- 亞馬遜 AWS 也發佈了解決問題的指導方法
因此,只要將你的電腦或手機更新到最新系統,就可以規避這一漏洞。雖然對計算機性能多少都會受到一些影響,但由於個人計算機的負載並不高,因此也不需要太過擔心因為打了補丁,就導致電腦「吃不了雞」。
(圖片來源:The Verge)
實際上,Meltdown 和 Spectre 對性能的拖累才是讓人頭疼的問題——不打補丁的話,數據安全得不到保障;而打了補丁之後,對性能的拖累又會對雲計算業務造成不小的影響。
在更好的解決方案出來之前,雲計算廠商們似乎也是毫無辦法。
最後,附上英特爾的官方聲明供讀者參考:
引用英特爾和其他技術公司對最近媒體報道的一項安全研究已經了解。這一研究中描述的軟件分析方法,當被用於惡意目的時,有可能從被操縱的計算設備中不當地收集敏感數據。英特爾認為,這些攻擊沒有可能損壞、修改或刪除數據。
最近的報道還稱,這些破壞是由「漏洞」或「缺陷」造成的,並且是英特爾產品所獨有的——這是不正確的。根據迄今的分析,許多類型的計算設備(有來自許多不同供應商的處理器和操作系統)都會容易受到類似攻擊。
英特爾致力於為產品和客户安全提供保障,並與許多其他技術公司(包括 AMD、ARM 控股和多個操作系統供應商)密切合作,以制定用於全行業的方法,迅速、有建設性地解決這一問題。英特爾已開始提供軟件和固件更新來抵禦這些破壞。與某些報道中指出的恰恰相反,不同負載受影響程度不同。對於一般的計算機用户來説影響並不顯著,而且會隨着時間的推移而減輕。
英特爾致力於提供業界最佳實踐,負責任地披露潛在的安全問題,這就是英特爾和其他供應商原本計劃在下週發佈更多軟件和固件更新的原因。但由於當前媒體不準確的報道,英特爾今天特此發表聲明。
請與您的操作系統供應商或系統製造商聯繫,並儘快採納任何可用的更新。日常遵循抵禦惡意軟件的安全操作,也有助於在應用更新之前防止可能的破壞。
英特爾相信其產品在世界上是最安全的,並且在合作伙伴的支持下,當前對這一問題的解決方案,能為客户提供最佳的安全保障。
題圖來源:Huff Post
資料來源:愛範兒(ifanr)
請按此登錄後留言。未成為會員? 立即註冊