Intel 拒回收有問題晶片，Meltdown與Spectre漏洞影響全球！

The_Matrix · 發表於 2018-1-6 04:53:31

Intel 拒回收有問題晶片，Meltdown與Spectre漏洞影響全球！

Intel CEO Brian Krzanich表示，公司不會召回受Meltdown（災難）與Spectre（幽靈）漏洞影響的晶片的產品。同時其表示過去五年中，生產的九成處理器，今個星期將會有軟件的更新解決漏洞。intel稱這Meltdown和Spectre漏洞，比1994年的FDIV更容易解決。intel稱這漏洞被媒體刻意解讀，但真正影響並沒想像中嚴重。並在未來幾個星期，為更早前生產處理器提供修補漏洞的更新。

另一邊的蘋果就表示，已經確認所有的Mac系統與iOS設備皆受到intel晶片設計中的安全漏洞影響，而且已經發佈補救的緊急更新。提供給iOS 11.2和MacOS 10.13.2的用戶以抵禦Meltdown漏洞；同時，也在Safari中更新，以防範Spectre漏洞。另外，蘋果智能手錶Apple Watch的操作系統，則不受影響，用戶不需要擔心。

所謂的Meltdown（災難）與Spectre（幽靈）漏洞，前者可以讓低權限用戶級別的應用程式訪問系統級，後者則可以騙過安全檢查程序KASLR（Kernel Address Space Layout Randomization ），使應用程序訪問任意位置。現時全球各種系統軟件或硬件，皆受這漏洞的影響，當中包括Intel、ARM、AMD、Apple、Google、Linux Kernel、Microsoft、Mozilla、微軟Azure、亞馬遜伺服器、阿里雲和騰訊雲以及其他等等。美國CERT電腦網路危機處理中心，更呼籲最好將問題CPU全換掉。

至於負責揭露這CPU重大漏洞的Google Project Zero，就點破intel、AMD、ARM處理器產品都受到影響。並表示這些問題早已在2017年6月1日，向Intel、AMD、ARM回報，但直到現在才被公開。目前已知的漏洞版本有3個，包括：一、繞過邊界檢查；二、分支目標注入；三、惡意資料快取載入。前兩種漏洞版本屬於Spectre，後者為Meltdown。透過概念性驗證測試了Intel Haswell Xeon CPU、AMD FX CPU、AMD PRO CPU和ARM Cortex A57等處理器：發現於第一種漏洞原理下，黑客在不需要通過任何權限下，就能在不當的「預測執行」程式中讀取數據。至於第二種漏洞和第三種漏洞，則只在Intel Haswell Xeon CPU出現。