CPU重大漏洞的风险有多高?美国CERT中心呼吁最好将问题CPU全换掉
这两天包括英特尔等主要CPU大厂相继爆出重大处理器漏洞,恐造成机敏资料外泄,而引
发轩然大波。美国电脑网络危机处理中心CERT今日(1/4)更罕见大动作发出漏洞通告,
并提出警告,认为此漏洞将可能导致旁路攻击(side channel attackse),带来重大安
全风险,甚至更建议用户最好全部换掉受影响的CPU,改用其他没有安全风险的CPU,只不
过,目前绝大部分CPU厂牌都受到此漏洞波及,一时之间,也很难找到其他能用来代替且
未受影响的CPU可用。
根据美国CERT中心的说明,这次出现的CPU漏洞,主要是由于CPU架构设计缺陷所造成的,
可能导致出现Meltdown 与 Spectre这两个漏洞的旁路攻击,将让有心人士可以取得用户
权限在处理器内来植入恶意程式,而影响到这些有漏洞CPU的装置安全,例如可以读取其
他受到保护的内核内存存取的资讯,或是绕过KASLR(Kernel Address Space Layout
Randomization )将内存内内核程式位置随机化的保护机制。
CERT也列出目前经查证已确定受影响的CPU厂牌和主要OS厂商,包括了Intel、ARM、AMD、
Apple、Google、Linux Kernel、Microsoft,以及Mozilla。并且持续更新当中。
负责揭露这起CPU重大漏洞的Google Project Zero也点名英特尔、AMD、ARM处理器产品都
受到影响。不过截至目前,只有ARM已在官网上列出受漏洞影响的处理器产品。ARM在稍早
回应提到,受到特定漏洞及攻击手法影响的CPU系列,包括了Cortex R7、R8、A8、A9、
A15、A17、A57、A72、A73、A75。这些处理器通常被用在智慧手机、平板电脑或其他类似
手持式装置上。因为受影响的系列产品数量较多,目前也正在更新修补中。
英特尔则澄清,这次的处理器漏洞并没有媒体报导的那么严重,虽然可能有导致部分机敏
资料外泄的风险,但用户装置保存的数据,并不会因此遭到恶意破坏、修改或删除。
至于AMD则是坚持能免于这波处理器漏洞的攻击,因为采用和其他家不同的架构设计,预
设就不允许内存参照,可防止较低权限模式存取较高权限的资料,而造成内存分页错
误。甚至认为在特定条件下,自家CPU遭到漏洞攻击的风险趋近于零。
iThome
https://www.ithome.com.tw/news/120193
讲干话耶 全换?