示意圖,與新聞事件無關。

圖片來源: 

Apple

Google Project Zero團隊本周三(1/3)公布了中央處理器(CPU)的「推測執行」(speculative execution)含有安全瑕疵,影響各大品牌的CPU產品,並衍生出CVE-2017-5753、CVE-2017-5715及CVE-2017-5754等3個安全漏洞,現已存在6種概念性驗證攻擊,蘋果則在周四(1/4)表示,所有的Mac系統與iOS裝置都受到影響,將陸續釋出更新。

在6種概念性驗證攻擊中最常被引用的是由10名資安研究人員共同發展的Meltdown與Spectre,其中,Meltdown開採的是CVE-2017-5754漏洞,Spectre則同時開採CVE-2017-5753與CVE-2017-5715漏洞,皆允許惡意程式竊取存於記憶體中的資料,有鑑於其中的Meltdown攻擊相對容易執行,而成為各大業者的優先防範對象。

由於Google早在去年就向業者通報了相關漏洞,因此蘋果已在去年12月底藉由釋出iOS 11.2、macOS 10.13.2與tvOS 11.2緩解了Meltdown攻擊,而watchOS則未受Meltdown波及。

蘋果強調,新版macOS與iOS不管是在效能或瀏覽器的標竿測試上,都未出現效能下滑的現象。

至於Spectre攻擊,就算是已於裝置上安裝了惡意程式都不容易執行,但有機會開採於瀏覽器中運作的JavaScript,因此蘋果將在這幾天優先釋出支援macOS與iOS的Safari更新程式,不過新版Safari的JetStream標竿測試效能稍微降低了2.5%。

未來蘋果也會陸續更新iOS、macOS、tvOS與watchOS以降低Spectre攻擊對這些平台可能帶來的衝擊。


Advertisement

更多 iThome相關內容