Google Project Zero近來揭發CPU的「推測執行」(speculative execution)安全漏洞後,後來經過研究人員歸納出能將此漏洞用來開採的兩大攻擊手法,分別是Meltdown與Spectre,後來針對這兩個攻擊手法,更發出3個變種漏洞的CVE通報。編號為 CVE-2017-5754 漏洞是透過Meltdown的攻擊手法,能讓駭客以系統權限存取應用程式與OS用到的記憶體。 CVE-2017-5753 與 CVE-2017-5715這兩個漏洞則用在Spectre攻擊手法,讓駭客能竊取系統記憶體內存放的機敏資料。Meltdown與Spectre都是利用推測執行造成處理器設計漏洞發動的攻擊方式,對於全球有用到問題CPU的桌機、筆電、伺服器、工業電腦甚至是智慧手機都受到衝擊。
而奧地利的格拉茲科技大學(Graz University of Technology)的資安團隊,在CPU漏洞事件爆發後,也迅速針對Meltdown與Spectre這兩個攻擊手法,在pectreattack.com這個網站上整理出常見的Q&A問答,讓大家可以快速對這兩個攻擊手法有基本的認識和了解,網站背後更是由英特爾大力出資,我們也從中列出10個重要的Q&A。
Q 1 Meltdown與Spectre兩者攻擊手法有何不同?
簡單說,Meltdown主要是打破了應用程式被禁止任意存取系統記憶體的保護機制,使得應用程式也能跟著存取到記憶體內的內容。Spectre則是透過欺騙手法,讓其他應用程式能進入到記憶體內的任意位置存取內容。兩者都是利用旁路攻擊(side channel attackse)的攻擊方式,從存取的記憶體位置竊取機敏資訊。
Q 2 我有沒有受到Meltdown和Spectre影響呢?
當然,有的。
Q 3 如果我遭到Meltdown和Spectre攻擊手法開採時,能夠檢測得到嗎?
很可能不行,因為這些漏洞開採並不會傳統的Log日誌留下可以追蹤的記錄。
Q 4 我的防毒軟體可以檢測或阻止這類的攻擊嗎?
理論上可行,但實際執行上極為困難。不像一般惡意軟體,防毒軟體很難在應用程式正常啟用中,來分辨出是不是遭到Meltdown和Spectre的攻擊,而是可能會在發現已知惡意軟體後,通過比對Binary(二進位)文件來檢測這些攻擊。
Q 5 有哪些類的資料可能會有外洩風險?
假使以系統受到遭駭客開採為例,目前透過PoC已經證實能從你的電腦讀取CPU底層內核的記憶體存取的內容,這些內容包含了密碼,以及你儲存在系統中的機敏資料。
Q 6 有沒有Meltdown或Spectre已經被利用開採的真實例子呢?
目前還不清楚。
Q 7 目前有沒有解決或修復的辦法?
現在已經有Linux、Windows 以及OS X等作業系統業者針對Meltdown釋出更新修補。另外還有些則是針對軟體的安全進行強化,個別釋出軟體更新(如LLVM的更新等),以降低遭受Spectre攻擊的高風險。
Q 8 目前有哪類系統會受到Meltdown的影響?
Meltdown的部分,包括了桌機、筆電、雲端電腦設備均受影響。若從技術面來講,只要你的系統用的是能實作亂序執行(out-of-order execution)的英特爾處理器(自1995年出產的CPU幾乎都有提供此功能,少數例外,如 Intel Itanium與2013年以前的 Intel Atom),就有潛在風險。目前還不清楚 ARM與 AMD 處理器有沒有受影響。
Q 9 目前有哪類系統會受到Spectre的影響?
Spectre的部分,影響層面更廣,因為Intel'AMD 與 ARM 三家主要CPU都有受影響,所以只要有用到這3家處理器的系統都受影響,包括桌機、筆電、雲端伺服器,甚至是智慧型手機也在內。
Q 10 目前盤點已知受影響的廠商產品及更新進展如何?
英特爾(參考連結)
共有44款CPU產品受影響,涵蓋桌上型PC(Core i3、i5、i7系列)、筆電(Intel Core)、伺服器(含E3、E5、E7、Xeon Processor Scalable)、嵌入式電腦( Celeron J、Celeron N)等主要處理器。
對外公告,將先針對近5年內的CPU系列產品釋出更新,預計下周末前,逾9成的CPU產品都能獲得更新修補
並無說明是修補Meltdown或是Spectre的漏洞
ARM(參考連結)
大部分ARM處理器未受影響,少部分影響的是被用在智慧手機、平板電腦或其他類似手持式裝置的ARM處理器。
受到Meltdown影響的ARM型號
Cortex-A75
受到Spectre影響的ARM型號
Cortex-R7、Cortex-R8、Cortex-A8、Cortex-A9、Cortex-A15、Cortex-A17、Cortex-A57、Cortex-A72
Cortex-A73、Cortex-A75
AMD(參考連結)
Meltdown對AMD影響趨近為零,因為架構設計與其他CPU不同
Spectre對AMD影響幾乎於零,目前未有相關處理器漏洞被證實
Microsoft微軟(參考連結)
已釋出Windows、Azure安全更新,降低CPU「推測執行」漏洞造成的危害
Amazon(參考連結)
已修補Amazon EC2上所有執行的虛擬機器、Amazon Linux AMI,免於受到Meltdown與Spectre攻擊的影響
Google (參考連結)
受影響但可自Google端修補的則包含了Google架構、Android、G Suite及部份的Google Cloud產品。
在企業雲端服務部份,Google已修補了Google Cloud架構,部分雲端服務則需用戶配合更新,包括Google Cloud Dataflow、Google Cloud Datalab、Google Cloud Dataproc、Google Cloud Launcher、Google Cloud Machine Learning Engine及Google Compute Engine等
Chrome瀏覽器方面,新版Chrome OS 63已內建保護功能,更早的Chrome OS版本後續則會藉由於核心中嵌入Kernel Page Table Isolation(KPTI)進行修補。
在Android平臺上,所有已部署本周釋出安全更新的Android裝置已可確保安全。
Mozilla(參考連結)
釋出Firefox 57.0.4更新版本,增加利用performance.now() 解析度降底20µs,以及預設禁用
SharedArrayBuffer功能,以減少瀏覽器可能遭利用竊取CPU底層核心的機敏資訊。
Red Hat(參考連結)
受到Meltdown影響產品名稱
Red Hat Enterprise Linux 7(已更新)
Red Hat Enterprise Linux 6(部分更新)
Red Hat Enterprise Linux 5(待更新)
RHEL Atomic Host (待更新)
Red Hat Enterprise MRG 2 (已更新)
Red Hat Virtualization (RHEV-H/RHV-H)
受到Spectre影響的產品名稱
Red Hat Enterprise Linux 7 (已更新)
Red Hat Enterprise Linux 6 (部分更新)
Red Hat Enterprise Linux 5 (待更新)
RHEL Atomic Host (待更新)
Red Hat Enterprise MRG 2(已更新)
Red Hat Virtualization (RHEV-H/RHV-H)
Red Hat OpenStack v6 (待更新)
Red Hat OpenStack v7 (待更新)
Red Hat OpenStack v8 (待更新)
Red Hat OpenStack v9(待更新)
Red Hat OpenStack v10 (待更新)
Red Hat OpenStack v11 (待更新)
Red Hat OpenStack v12 (待更新)
Debian (參考連結)
已針對Meltdown攻擊手法提供軟體包更新
Ubuntu(參考連結)
預計將針對Ubuntu內核和處理器微程式釋出更新
SUSE(參考連結)
將為所有企業版SUSE Linux(SLE))推出Meltdown與Spectre修補更新。
目前已釋出更新的SLE版本如下:
SLES 12 SP3
SLES 12 SP2
SLES 12 SP1-LTSS
SLES 12-LTSS
SLES 11 SP4
SLES 11 SP3-LTSS
SUSE CaaS Platform
也將提供AMD 與 Intel處理器微程式包的韌體更新
將釋出QEMU / KVM更新
LLVM(參考連結)
已針對Spectre釋出更新
VMWare(參考連結)
已針對受影響的
VMware ESXi(6.5、6.0、5.5),VMware Workstation Pro / Player工作站(12.x)和 VMware Fusion Pro / Fusion(8.x)版本釋出更新(僅適用Spectre攻擊手法的CVE-2017-5715漏洞,未包括CVE-2017-5753)
Citrix (參考連結)
經證實已受影響的產品
Citrix NetScaler SDX
Citrix XenServer
等待第三方更新的產品
Citrix XenApp/XenDesktop
目前已知不受影響的產品
Citrix XenMobile Server
XenMobile Server
Citrix NetScaler
from iThome 新聞 http://ift.tt/2CIS01W
沒有留言:
張貼留言