|
|
Intel 拒回收有問題晶片,Meltdown與Spectre漏洞影響全球!
Intel CEO Brian Krzanich表示,公司不會召回受Meltdown(災難)與Spectre(幽靈)漏洞影響的晶片的產品。同時其表示過去五年中,生產的九成處理器,今個星期將會有軟件的更新解決漏洞。intel稱這Meltdown和Spectre漏洞,比1994年的FDIV更容易解決。intel稱這漏洞被媒體刻意解讀,但真正影響並沒想像中嚴重。並在未來幾個星期,為更早前生產處理器提供修補漏洞的更新。
另一邊的蘋果就表示,已經確認所有的Mac系統與iOS設備皆受到intel晶片設計中的安全漏洞影響,而且已經發佈補救的緊急更新。提供給iOS 11.2和MacOS 10.13.2的用戶以抵禦Meltdown漏洞;同時,也在Safari中更新,以防範Spectre漏洞。另外,蘋果智能手錶Apple Watch的操作系統,則不受影響,用戶不需要擔心。
所謂的Meltdown(災難)與Spectre(幽靈)漏洞,前者可以讓低權限用戶級別的應用程式訪問系統級,後者則可以騙過安全檢查程序KASLR(Kernel Address Space Layout Randomization ),使應用程序訪問任意位置。現時全球各種系統軟件或硬件,皆受這漏洞的影響,當中包括Intel、ARM、AMD、Apple、Google、Linux Kernel、Microsoft、Mozilla、微軟Azure、亞馬遜伺服器、阿里雲和騰訊雲以及其他等等。美國CERT電腦網路危機處理中心,更呼籲最好將問題CPU全換掉。
至於負責揭露這CPU重大漏洞的Google Project Zero,就點破intel、AMD、ARM處理器產品都受到影響。並表示這些問題早已在2017年6月1日,向Intel、AMD、ARM回報,但直到現在才被公開。目前已知的漏洞版本有3個,包括:一、繞過邊界檢查;二、分支目標注入;三、惡意資料快取載入。 前兩種漏洞版本屬於Spectre,後者為Meltdown。透過概念性驗證測試了Intel Haswell Xeon CPU、AMD FX CPU、AMD PRO CPU和ARM Cortex A57等處理器:發現於第一種漏洞原理下,黑客在不需要通過任何權限下,就能在不當的「預測執行」程式中讀取數據。至於第二種漏洞和第三種漏洞,則只在Intel Haswell Xeon CPU出現。
但到目前,intel就澄清影響沒有想像中嚴重,認為只是可能會有導致部分機密資料外洩,並不影響用戶保存的數據,用戶資料也不會全數受到惡意破壞。而AMD則表示因為採用不同的架構設計,因此可防止較低權限模式存取較高權限的資料。只有ARM列出受影響的處理器,詳情可看之前報導:
Source: PC3
登入後,內容更豐富
您需要 登錄 才可以下載或查看,沒有賬號?註冊
×
|
|
在線雷達
發表於 2018-1-6 04:53:31
廣播
置頂
推舊帖
收嗲鳥
油顏色
發表於 2018-1-6 06:35:53
