※ [本文转录自 Gossiping 看板 #1QJRiXoE ]
作者: ckenken (混沌之子) 看板: Gossiping
标题: [新闻] Google：CPU漏洞影响不只英特尔，还有AMD
时间: Thu Jan 4 13:26:54 2018
1.媒体来源:
iThome
2.完整新闻标题:
Google：CPU漏洞影响不只英特尔，还有AMD与ARM
3.完整新闻内文:
Google安全团队Project Zero去年便发现处理器中的“推测执行”隐含有重大漏洞，不当的推测执行可能滥用CPU资料快取的时间安排导致资料外泄，并可衍生出至少3种可任意读取虚拟内存的变种漏洞。
Google于本周三（1/3）指出，现今大多数的中央处理器（CPU）都受到“推测执行”（speculative execution）漏洞的影响，允许骇客读取系统内存，从密码、加密金钥或是程式中的机密资讯，波及了英特尔（Intel）、AMD与ARM的处理器产品，原本业界计画要在1月9日共同揭露，但因媒体及安全社群已开始报导及猜测，增加了漏洞被开采的风险，使得Google决定提前公布。
“推测执行”为一处理器最佳化技术，让具备额外资源的电脑系统事先执行一些任务，在需要时就能使用以改善效能并预防延迟，被应用在现代大多数的CPU中。
然而，Google的Project Zero团队去年便发现“推测执行”中隐含有一重大安全漏洞，不当的推测执行可滥用CPU资料快取的时间安排而造成资料外泄，在最糟糕的情况下可跨越本地端的安全界线而衍生出至少3种可任意读取虚拟内存的变种漏洞。
Google说明，为了改善效能，许多CPU都会基于可能是真的假设来执行推测指令，并在推测执行中验证这些假设，若是有效的便继续执行，无效时即会松开执行，并因应真实的情况启动正确的执行路径；不过，“推测执行”在CPU处于松开状态时可能会出现一些无法复原的副作用，进而导致资料外泄。
相关漏洞同时影响了英特尔、AMD与ARM的处理器，也影响采用这些处理器的装置与作业系统。Google已于去年6月1日将漏洞资讯提交给上述处理器业者。
若要开采“推测执行”漏洞必须先于目标系统上执行恶意程式，此外，并无任何单一修补程式可一次解决已知的3种变种漏洞，得分别修补以提供保护，现阶段已有许多业者防堵了其中1个或多个攻击途径。
文/陈晓莉 | 2018-01-04发表
4.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/120180
5.备注:
搞了半天是 Google 的资安 team 先发现的 XDD
说好的 AMD 风险接近零？？
现在该信哪一边呢？
还是说大家都降 20%，可以和平共处~

我相信GOOGLE

Google可信

Google的技术已经屌打

懂惹 楼下懂惹没？

干！Google发现的喔？...看样子是大家都在装傻

重返农药 …咦？

一般用户也没人要骇 跟肥宅无关 是政府机关 名人权贵才怕骇客吧

把虚拟内存关掉不就好了 反正也没人在用 = =

笑死，这脸打的

PowerPC也有 IBM也不要跑！！

这是给你加码的 重返农药指日可待

Google：唉！这些废渣！那个AlphaGo~ 帮我设计一款新的CPU

apple表示 :学我

但是amd多线程影响应该比较小

明天AMD大概也要泄了

AMD : 干 表我 AMD 又崩盘惹

没有要骇一般人? 原来信用卡盗刷 密码外泄都不是一般人

Intel三种全中，AMD只有旧的CPU中一种吧

赶快挖角狗狗

英特尔，AMD装傻......google表示:..

AMD粉崩溃了

不太懂这么多年难到都没有骇客发现这个漏洞吗？

哈哈哈 通通有 一个都不用跑

重返农.. 等等

这资讯在电虾似乎有点过时了XD真的 买ryzen舒服 今年改版再买一颗来支持好惹

我买了半年 怎么还没有除过错XDDDD i粉都喜欢扣别人帽子？

平常骂记者骂很凶结果随便下一个自己想看的标题就信了XDDD