示意圖,與新聞事件無關。

圖片來源: 

Google

Google於本周三(1/3)指出,現今大多數的中央處理器(CPU)都受到「推測執行」(speculative execution)漏洞的影響,允許駭客讀取系統記憶體,從密碼、加密金鑰或是程式中的機密資訊,波及了英特爾(Intel)、AMD與ARM的處理器產品,原本業界計畫要在1月9日共同揭露,但因媒體及安全社群已開始報導及猜測,增加了漏洞被開採的風險,使得Google決定提前公布。

「推測執行」為一處理器最佳化技術,讓具備額外資源的電腦系統事先執行一些任務,在需要時就能使用以改善效能並預防延遲,被應用在現代大多數的CPU中。

然而,Google的Project Zero團隊去年便發現「推測執行」中隱含有一重大安全漏洞,不當的推測執行可濫用CPU資料快取的時間安排而造成資料外洩,在最糟糕的情況下可跨越本地端的安全界線而衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。

Google說明,為了改善效能,許多CPU都會基於可能是真的假設來執行推測指令,並在推測執行中驗證這些假設,若是有效的便繼續執行,無效時即會鬆開執行,並因應真實的情況啟動正確的執行路徑;不過,「推測執行」在CPU處於鬆開狀態時可能會出現一些無法復原的副作用,進而導致資料外洩。

相關漏洞同時影響了英特爾、AMD與ARM的處理器,也影響採用這些處理器的裝置與作業系統。Google已於去年6月1日將漏洞資訊提交給上述處理器業者。

若要開採「推測執行」漏洞必須先於目標系統上執行惡意程式,此外,並無任何單一修補程式可一次解決已知的3種變種漏洞,得分別修補以提供保護,現階段已有許多業者防堵了其中1個或多個攻擊途徑。


Advertisement

更多 iThome相關內容