2018年1月4日 星期四

iThome 新聞 Google針對CPU「推測執行」漏洞補強Android、Chrome與Google Cloud 皇璽會 http://www.iwin688.com

Google周三(1/3)公布了受到CPU「推測執行」(speculative execution)漏洞影響的Google產品及服務,顯示從Google架構、Android、Chrome瀏覽器、Chrome OS到Google Cloud皆受牽連,不過,Google已針對已知的衍生漏洞與攻擊途徑提出因應之道,並有部份修補需要使用者配合操作。

有鑑於Google的Project Zero團隊在去年上半年便已發現CPU所內含的「推測執行」漏洞,立即通知受影響的軟、硬體業者,因此,儘管在昨天提前揭露了相關漏洞,但包括Google在內的大多數業者皆已展開或完成修補。

根據Google的受災產品狀態列表,完全不受「推測執行」漏洞影響的產品只有Google Home、Chormcast、Google Wifi與OnHub,由於這些產品只能執行由Google開發的可靠程式,因而免疫。

受影響但可自Google端修補的則包含了Google架構、Android、G Suite及部份的Google Cloud產品。其中,Google架構涵蓋了搜尋、YouTube、地圖、Blogger等各種Google服務,且Google強調由該站保存的客戶資料都已受到保護。

在Android平台上,所有已部署本周釋出之安全更新的Android裝置都可確保安全,此外,迄今尚未有人成功將該漏洞複製於採用ARM處理器的Android裝置上。

至於Chrome瀏覽器、Chrome OS與部份Google Cloud服務則需要使用者採取某些行動來保障安全。Google表示,目前的Chrome 63含有一「網站隔離」(Site Isolation)功能,用戶只要啟用它就能避免相關攻擊,而預計於1月23日出爐的Chrome 64即會內建保護能力。

而在去年12月15日釋出的Chrome OS 63已內建保護功能,至於更早的Chrome OS版本則會在未來藉由於核心中嵌入Kernel Page Table Isolation(KPTI)進行修補。

在企業雲端服務部份,Google已修補了Google Cloud架構,妥善隔離客戶的任務,但有些雲端服務仍需客戶採取修補行動,包括Google Cloud Dataflow、Google Cloud Datalab、Google Cloud Dataproc、Google Cloud Launcher、Google Cloud Machine Learning Engine及Google Compute Engine等,主要是要求客戶更新與修補訪客環境。而未啟用自動更新的Google Kubernetes Engine用戶則需記得要手動更新叢集。



from iThome 新聞 http://ift.tt/2lSDdId










沒有留言:

張貼留言