在將近2天的混亂後,英特爾已經針對旗下產品釋出更新,以修補10名安全研究人員所揭露的Meltdown及Spectre兩項開採漏洞手法。
英特爾表示,透過安全更新,將使所有使用該公司產品的電腦系統,包括個人電腦及伺服器免於Meltdown及Spectre的攻擊。到目前為止,已經對過去5年間所推出的大部份處理器產品釋出更新,預計到下周末之前,過去5年以來超過90%的處理器產品都將會獲得更新。英特爾也在合作夥伴協助下部署軟體修補程式及韌體更新。
周三Google Project Zero公佈三項CPU上的「推測執行」漏洞,可讓駭客得以讀取記憶體內容,包括英特爾、AMD及ARM的CPU都受到這批漏洞影響,英特爾更是自1995年以來的產品曝險。Google指出針對「推測執行」漏洞現在已有4項概念驗證(PoC)攻擊,隨後又有10名資安研究人員共同發展出Meltdown、Spectre兩項PoC。
在漏洞資訊被揭露的最初,資訊相當混亂,周三媒體一度報導只有英特爾CPU的安全漏洞,迫使英特爾出面澄清它並不是唯一曝險的CPU業者,而對於媒體報導所說更新後導致裝置效能降低並非事實,英特爾重申更新後對處理器效能的影響要視作業而定,對一般使用者來說這問題應不致於太大,而且即使某些特定作業一開始效能的確會受影響,但之後的測試及軟體更新也將讓問題獲得緩解。
同樣受到波及的ARM也有包括Cortex R及Cortex A系列多款產品受到漏洞影響。ARM除了提供受影響產品清單外,也提供Linux用戶修改程式碼的指示。Nvidia的GPU則未受影響,但該公司正著手解決和ARM合作的SoC產品問題。AMD則稱自家產品沒有被駭風險。
至於在系統更新方面,則需要系統製造商及作業系統業者發佈各自的更新。目前微軟已更新了Windows、Azure,AWS也已更新EC 2的執行個體(instance)。另外,蘋果已於今日針對iOS 11.2、macOS 10.13.2及tvOS 11.2等產品釋出修補程式。
from iThome 新聞 http://ift.tt/2lX1E6v
沒有留言:
張貼留言