CPU重大漏洞的風險有多高?美國CERT中心呼籲最好將問題CPU全換掉
這兩天包括英特爾等主要CPU大廠相繼爆出重大處理器漏洞,恐造成機敏資料外洩,而引
發軒然大波。美國電腦網路危機處理中心CERT今日(1/4)更罕見大動作發出漏洞通告,
並提出警告,認為此漏洞將可能導致旁路攻擊(side channel attackse),帶來重大安
全風險,甚至更建議用戶最好全部換掉受影響的CPU,改用其他沒有安全風險的CPU,只不
過,目前絕大部分CPU廠牌都受到此漏洞波及,一時之間,也很難找到其他能用來代替且
未受影響的CPU可用。
根據美國CERT中心的說明,這次出現的CPU漏洞,主要是由於CPU架構設計缺陷所造成的,
可能導致出現Meltdown 與 Spectre這兩個漏洞的旁路攻擊,將讓有心人士可以取得用戶
權限在處理器內來植入惡意程式,而影響到這些有漏洞CPU的裝置安全,例如可以讀取其
他受到保護的內核記憶體存取的資訊,或是繞過KASLR(Kernel Address Space Layout
Randomization )將記憶體內內核程式位置隨機化的保護機制。
CERT也列出目前經查證已確定受影響的CPU廠牌和主要OS廠商,包括了Intel、ARM、AMD、
Apple、Google、Linux Kernel、Microsoft,以及Mozilla。並且持續更新當中。
負責揭露這起CPU重大漏洞的Google Project Zero也點名英特爾、AMD、ARM處理器產品都
受到影響。不過截至目前,只有ARM已在官網上列出受漏洞影響的處理器產品。ARM在稍早
回應提到,受到特定漏洞及攻擊手法影響的CPU系列,包括了Cortex R7、R8、A8、A9、
A15、A17、A57、A72、A73、A75。這些處理器通常被用在智慧手機、平板電腦或其他類似
手持式裝置上。因為受影響的系列產品數量較多,目前也正在更新修補中。
英特爾則澄清,這次的處理器漏洞並沒有媒體報導的那麼嚴重,雖然可能有導致部分機敏
資料外洩的風險,但用戶裝置保存的數據,並不會因此遭到惡意破壞、修改或刪除。
至於AMD則是堅持能免於這波處理器漏洞的攻擊,因為採用和其他家不同的架構設計,預
設就不允許記憶體參照,可防止較低權限模式存取較高權限的資料,而造成記憶體分頁錯
誤。甚至認為在特定條件下,自家CPU遭到漏洞攻擊的風險趨近於零。
iThome
https://www.ithome.com.tw/news/120193
講幹話耶 全換?