在Google公司安全團隊Project Zero披露Intel處理器Meltdown(熔毀) 和Spectre(幽靈)漏洞後，該漏洞在2018年初震動了計算機世界。現在據說還有兩個漏洞:Skyfall和Solace(他們的命名來源於詹姆斯·邦德電影的靈感)。據訊息來源稱，這些漏洞也是物理晶片的問題，所以它們非常難以完全確定地消除。

 

      據說Meltdown和Spectre 漏洞是利用預測執行，這是現代CPU的一個特點。細節仍然很少，但Skyfall和Solace漏洞使用與Meltdown和Specter 相同的推測執行攻擊。根據漏洞資訊網站(https://skyfallattack.com/)的說法，微軟，蘋果和谷歌等作業系統以及AMD，英特爾和ARM等晶片製造商將再次需要共同努力來解決這些問題。The Register在Twitter上報道，他們相信Skyfall和Solace漏洞是一個騙局，因為他們的晶片製造商聯絡人還沒有聽說過這個漏洞。

 

      關於Meltdown和Spectre 漏洞(Intel和相應裝置廠商都釋出預警和解決措施)，都快被媒體說爛了，大多都聚焦在表象作為News在傳播，今天，我們會把漏洞最常見問題的進行梳理，並彙總解答(參考自www.heise.de)，以便大家參考和防禦自己的系統。

 

1.到底發生了什麼？

      Google一組研究人員發現了處理器硬體架構中的漏洞。攻擊者透過巧妙利用這些惡意程式碼漏洞，可以讀取計算機在記憶體中處理的所有資料，包括密碼和秘密訪問程式碼。

2.這個漏洞是否叫做“Meltdown”和“Spectre”？

      不是， Meltdown和Spectre是允許惡意程式碼利用硬體攻擊場景的名稱。總體而言，是谷歌公佈的三次進攻方案。CVE-2017-5753 (Spectre1，範圍檢查繞道)，CVE-2017-5715 (Spectre2，分支標的註入)和CVE-2017-5754  (Meltdown，盜取資料快取)。

3.我的裝置是否受到漏洞的影響？

      是的！有一定的機率。易受攻擊的處理器存在於各種裝置中，從臺式機，膝上型電腦，智慧手機，平板電腦到流媒體盒。

4.防病毒程式可以保護我免受可能的攻擊嗎？

      不能。

5.哪些處理器完全受到影響？

      處理器製造商已經釋出了受影響處理器的詳細清單。基本上，現在和以前的處理器都至少容易受到三種攻擊中至少一種的影響。

• 這包括2008年以來所有的Intel處理器: Atom C，E，A，X3和Z和賽揚和奔騰J和N系列。

• 在智慧手機和平板電腦中，ARM列出了大量的Cortex系列處理器，以及其他SoC組合處理器，例如Nvidia的Tegra晶片。

• IBM POWER和Fujitsu SPARC CPU也很脆弱影響。

• 樹莓Raspberry Pi處理器不受影響。

6. AMD處理器是否受到影響？

      AMD處理器實際上容易受到三種攻擊場景中兩種(即Specter Variation 1和2)影響。AMD最初認為 其處理器由於其架構而不易受到SpectreVariation 2的影響，但一週後發現不得不對其影響進行修改。

7.哪些作業系統受到影響？

      由於這是一個硬體漏洞，所以涉及的作業系統都受到影響，比如Windows，Linux，macOS，iOS，Android和FreeBSD。

8.我們怎樣才能保護自己的系統？

      更新系統，像微軟這樣的作業系統供應商已經推出了你應該儘快安裝的更新。但是應用程式和驅動程式也要保證安全，如Firefox瀏覽器或Nvidia顯示卡驅動程式也推出更新。

9.這些更新是否解決處理器的問題？

      不是， 它們只會降低惡意軟體利用其中一種漏洞攻擊的風險，沒有實現100％的保護。

10.哪裡可以找到更新？

      當更新功能被啟用時，作業系統更新自動進入。您還應定期重新啟動計算機，以便可以完成更新。但是，微軟指出，使用者需要對硬體的微碼或BIOS /韌體更新，這些更新需要各自的硬體製造商負責提供。

      實際上，計算機系統和軟體應用程式製造商在其網站上列出安全建議和更新。從heise網站(www.heise.de)可以找到更新的串列。

11.哪些英特爾處理器獲得微碼更新？

      英特爾計劃在1月份為所有在過去五年建造的處理器提供微碼更新。目前還不清楚老處理器的情況。

12.我如何知道我的機器是否存在漏洞？

      微軟釋出了一個處理器漏洞審計工具，具體使用方法，請在heise網站搜尋文章(Prozessor-Sicherheitslücke:So findest du heraus, ob du gegen Meltdown und Spectre geschützt bist)。

13.更新是否會影響效能？

      會影響系統效能，微軟已經做出了一個評估: 使用Intel Core i-6000系列(Skylake)系列處理器的普通使用者不應該感受到這些補丁的影響，從舊處理器到Haswell Generation Core i-4000的使用者將“感受到系統效能下降”，處理器和作業系統越老，效能下降越明顯。

      英特爾現在還釋出了第一批測量報告(關註回覆“Melt-Spec”關鍵字獲取報告)，當前英特爾處理器的效能可以在匯入安全補丁後降低10％。

 

14.漏洞究竟如何工作？

      heise 網上發表了詳細的分析(關註回覆“Melt-Spec”關鍵字獲取詳細分析)。

 

15.這些安全漏洞是否可以遠端使用？

      攻擊者必須在受影響的系統上執行惡意程式碼。因此，在許多嵌入式系統和路由器中這個問題是不重要的。但在網頁瀏覽器特別危險，他們可以下載和執行程式碼(如JavaScript，HTML5)。例如，惡意程式碼可以透過可疑的網站註入。相反，瀏覽器更新和指令碼攔截器(如NoScript)可以起到一定安全輔助作用。

16.我收到了聯邦資訊保安辦公室的電子郵件，要求我安裝他們開發的AMD和Intel安全補丁，我應該這樣做嗎？

      不能！這是一個精心製作的虛假郵件，郵件地址指向偽裝成安全補丁的Windows木馬的虛假網站，請及時刪除這封電子郵件。

 

      “Meltdown”和“Spectre”很可能被惡意攻擊者利用，網站和Web應用程式程式碼可用於利用此漏洞進行攻擊。這裡有一個利用JavaScript開發了“Meltdown” 和 “Spectre”的漏洞的例子。

      以下是關於AMD，Intel和ARM CPU中瀏覽器和“Meltdown”和“Spectre”漏洞的簡要常見問題解答。

 

問：在我的瀏覽器中是否易受攻擊？
      答：是的，瀏覽網頁可以讓第三方軟體訪問瀏覽器之外的記憶體。

問：威脅是真實還是主要是理論？
      答：這個威脅是真實的， Web應用程式(如WordPress)中的漏洞由於範圍有限而更加統一，易於被利用。

問：瀏覽器廠商是否可以提供補丁程式？
      答：是的，瀏覽器供應商可以最小化被利用漏洞的可能性。例如微軟，谷歌和Mozilla已經採取措施，請及時更新瀏覽器。

問：如果我的作業系統已經打補丁，這是否也解決了的問題？
      答：是的，如果您使用的瀏覽器沒有更新修複，即使更新了Windows，macOS或Linux底層作業系統更新，整個系統的更新也會過時。

問：伺服器上執行的Node.js是否容易受到此問題的影響？
      答：是的，但由於程式碼只能在伺服器上執行，惡意的第三方無法在本地環境中執行程式碼。當然，您需要確保您的共享主機環境(雲，VPS等)是最新的。

問：是否有已經更新的作業系統或瀏覽器，直接安裝以修補“Meltdown” 和 “Spectre”漏洞？
      答：集中跟蹤更新的簡單方法是一個GitHub頁面，可以跟蹤Chrome，Firefox等瀏覽器以及Android，Windows，MacOS和iPhone等流行作業系統對iPhone和iPad的更新狀態。

問：使用隱身樣式還是隱私樣式可以保護我免受幽靈的攻擊？
      答：不可以，攻擊者可以繞過任何安全功能，包括Chrome，Firefox和Safari瀏覽器中的私人樣式。

問：“Meltdown”和“Spectre”是否與Skyfall和Solace漏洞有關？
      答：這些漏洞有密切關係，但需要單獨修複瀏覽器，作業系統和CPU補丁才能解決漏洞風險。

 

>>>>>>>>>>>>>    推薦閱讀    <<<<<<<<<<<<<

• [AI趨勢] 透過機器學習，能給醫療未來帶來那些可能性？

溫馨提示：
請搜尋“ICT_Architect”或“掃一掃”二維碼關註公眾號，點選原文連結閱讀作者原文。

點原文連結讀原文。