Google Project Zero近來揭發CPU的「推測執行」(speculative execution)安全漏洞,後來經過研究人員歸納出能將此漏洞用來開採的兩大攻擊手法,分別是Meltdown與Spectre,後來針對這兩個攻擊手法,更發出3個變種漏洞的CVE通報。編號為 CVE-2017-5754 漏洞是透過Meltdown的攻擊手法,能讓駭客以系統權限存取應用程式與OS所用到的底層記憶體。 CVE-2017-5753 與 CVE-2017-5715這兩個漏洞則用在Spectre攻擊手法上,讓駭客能竊取系統記憶體內存放的機敏資料。Meltdown與Spectre都是利用推測執行造成的處理器設計弱點所發動的攻擊方式,對於全球有用到問題CPU的桌機、筆電、伺服器、工業電腦甚至是智慧手機都受到衝擊。

而奧地利這所格拉茲科技大學(Graz University of Technology)的資安研究團隊,在CPU漏洞事件爆發後,也迅速針對Meltdown與Spectre這兩個攻擊手法,在pectreattack.com這個網站上整理出常見的Q&A問答,讓大家能快速對這兩個攻擊手法有基本的認識和了解,網站背後更是由英特爾大力出資,我們也從中整理列出10個重要的Q&A。

 

Q 1 Meltdown與Spectre兩者攻擊手法有何不同?

簡單說,Meltdown主要是打破了應用程式被禁止任意存取系統記憶體的保護機制,使得應用程式也能跟著存取到記憶體內的內容。Spectre則是透過欺騙手法,讓其他應用程式能進到記憶體內的任意位置存取內容。兩者都是利用旁路攻擊(side channel attackse)的方式,從存取的記憶體位置竊取機敏資訊。

 

Q 2 我有沒有受到Meltdown和Spectre影響呢?

當然,有的。

 

Q 3 如果我遭到Meltdown和Spectre攻擊手法開採時,能夠檢測得到嗎?

很可能不行。因為這些漏洞開採並不會在傳統的Log日誌留下可以追蹤的記錄。

 

Q 4 我的防毒軟體可以檢測或阻止這類的攻擊嗎?

理論上可行,但實際執行上極為困難。不像一般惡意軟體,防毒軟體很難在應用程式正常啟用時,就能分辨出是不是遭到Meltdown和Spectre的攻擊,除非是在發現已知的惡意軟體後,再通過比對Binary(二進位)文件來檢測這些攻擊。

 

Q 5 有哪些類的資料可能會有外洩風險?

假使以系統受到駭客開採為例,目前透過PoC已經證實能從你的電腦讀取CPU底層內核的記憶體存取的內容,這些內容包含了登入系統的密碼,以及你儲存在系統中的機敏資料。

 

Q 6 有沒有Meltdown或Spectre已經被利用開採的真實例子呢?

目前還不清楚。

 

Q 7 目前有沒有解決或修復的辦法?

現在已經有Linux、Windows 以及OS X等作業系統業者針對Meltdown釋出更新修補。另外還有些則是針對軟體的安全進行強化,個別釋出軟體更新(如LLVM的更新等),以降低遭受Spectre攻擊的危害。

 

Q 8 目前有哪類系統會受到Meltdown的影響?

Meltdown的部分,包括了桌機、筆電、雲端電腦設備均受影響。若從技術面來講,只要你的系統用的是能實作亂序執行(out-of-order execution)的英特爾處理器(自1995年出產的CPU幾乎都有提供此功能,少數例外,如 Intel Itanium與2013年以前的 Intel Atom),就有潛在風險。目前還不清楚 ARM與 AMD 處理器有沒有受影響。

 

Q 9 目前有哪類系統會受到Spectre的影響?

Spectre的部分,影響層面更廣,因為Intel、AMD 與 ARM 三家主要CPU都有受影響,所以只要有用到這3家處理器的系統,或裝置基本上都會受影響,包括桌機、筆電、雲端伺服器,甚至是智慧型手機也在內。

 

Q 10 目前盤點已知受影響的廠商產品及更新進展如何?

清單最近更新時間:2018/1/10 18:00

英特爾(參考連結

共有44款CPU產品受影響,涵蓋桌上型PC(Core i3、i5、i7系列)、筆電(Intel Core各代)、伺服器(含E3、E5、E7、Xeon Processor Scalable)、嵌入式電腦( Celeron J、Celeron  N)等主要處理器。

對外公告,將先針對近5年內的CPU系列產品釋出更新,預計下周末前,逾9成的CPU產品都能獲得更新修補。

並無說明是修補Meltdown或是Spectre的漏洞。

ARM(參考連結

大部分ARM處理器未受影響,少部分影響的是被用在智慧手機、平板電腦或其他類似手持式裝置的ARM處理器。

受到Meltdown影響的ARM型號
Cortex-A75
受到Spectre影響的ARM型號
Cortex-R7、Cortex-R8、Cortex-A8、Cortex-A9、Cortex-A15、Cortex-A17、Cortex-A57、Cortex-A72
Cortex-A73、Cortex-A75

AMD(參考連結

已公告Meltdown對AMD處理器不存在任何影響,因為架構設計與其他CPU不同。

對外公告Spectre對AMD處理器影響趨近於零,目前未有相關處理器漏洞被證實。

RISC-V(參考連結)新增

並未影響開源精簡指令集架構(ISA)的RISC-V處理器,將來將持續強化ISA安全的保護。

Nvidia(參考連結)新增

針對受Meltdown或是Spectre 影響的全部GPU系列產品,皆已或即將於1/22前釋出驅動程式的安全更新,影響的GPU產品涵蓋了GeForce系列GPU、伺服器GPU加速器Tesla、行動工作站Quadro以及NVS繪圖卡產品。

Microsoft微軟(參考連結

已釋出Windows、Azure安全更新,降低Meltdown與Spectre攻擊造成的危害。

已針對IE 11、Microsoft Edge瀏覽器發出更新。

作業系統方面,已針對Windows 10 (32-bit )/x64、Windows 8.1 (32-bit )/x64  ,以及Windows 7 SP1(32-bit )/x64各版本提供軟體和韌體更新修補,或加強安全更新。

SQL資料庫部分也已有提供Microsoft SQL Server 2016 (x64 SP1)  與Microsoft SQL Server 2017  (x64 SP1)的軟體更新。

伺服器OS方面,包括Windows Server 2016 、Windows Server 2008 R2 /2008 R2 for x64 SP1 、Windows Server 2012/2012 R2,以及Windows Server(Server Core安裝)目前皆已釋出修補,或加強安全更新。

Amazon(參考連結

已修補Amazon EC2上所有執行的虛擬機器、Amazon Linux AMI,免於受到Meltdown與Spectre攻擊的影響。

不過部分雲端服務仍建議用戶配合更新虛擬機器的OS(AWS Batch),包括Amazon EC2、 Amazon Elastic Beanstalk、 Amazon Elastic Container Service、 Amazon Elastic MapReduce以及Amazon Lightsail產品,以提高對於OS的保護。

Google  (參考連結 

受影響但可自Google端修補的包含了Google架構、Android、G Suite及部份的Google Cloud產品。

在企業雲端服務部份,Google已修補了Google Cloud架構,部分雲端服務則需用戶配合更新,包括Google Cloud Dataflow、Google Cloud Datalab、Google Cloud Dataproc、Google Cloud Launcher、Google Cloud Machine Learning Engine及Google Compute Engine等。

Chrome瀏覽器方面,新版Chrome OS 63已內建保護功能,更早的Chrome OS版本後續則會藉由於核心中嵌入Kernel Page Table Isolation(KPTI)進行修補。

在Android平臺上,所有已部署本周釋出安全更新的Android裝置,包括Nexus 5X、Nexus 6P、Pixel C、Pixel/XL 及Pixel 2/XL等已可確保安全。

2017年12月已向Android合作夥伴,針對有受影響的ARM處理器提供更新程式SPL,以降低受到CPU漏洞攻擊的影響。

Apple  (參考連結 新增

已先針對iOS 11.2、macOS 10.13.2以及tvOS 11.2發布更新,以減少受到 Meltdown攻擊的危害。

目前已知Apple Watch產品並不會受到Meltdown或Spectre的影響。

 Lenovo(參考連結) 新增

已知有上百款Lenovo產品受影響或部分受影響,產品涵蓋桌上型PC (含All in One)、筆電(IdeaPad、ThinkPad)、網路交換器、儲存、伺服器(含System x 、ThinkServer、ThinkSystem)以及ThinkStation工作站,目前僅少數產品釋出更新,多數仍待更新釋出。

IBM(參考連結) 新增

已針對POWER7 +、POWER8和POWER9運算平臺釋出韌體更新,另外Linux作業系統的部分,將在1/9開始提供更新修補程式,至於AIX和i作業系統預計要等到2/12才會釋出更新。

Dell (參考連結) 新增

目前已針對可能受影響的Dell 企業級伺服器(含13代、14代 PowerEdge系列), 儲存、網通產品以及Dell資料中心可擴展方案(DSS)釋出系統BIOS軟體更新。

HPE (參考連結) 新增

已針對受影響的ProLiant 伺服器等產品釋出或即將推出ROM更新。

華為(參考連結) 新增

目前已知有多款伺服器產品型號受影響,還在進行調查中。

Synology 群暉(參考連結) 新增

已知受影響的產品,包括了DiskStation Manager (DSM)系統平臺(含DSM 6.1、DSM 6.0、DSM 5.2版本)、管理軟體SRM 1.1,以及網路監控VisualStation。預計之後也將釋出修補更新。

Cisco (參考連結) 新增

目前已知受影響的產品,包括路由器、刀鋒伺服器、機架式伺服器等十餘款產品,其他仍在調查中。

Juniper (參考連結) 新增

對於允許未經核准簽署程式執行(unsigned code execution)的部分Juniper產品可能受影響,包括搭載Junos OS的平臺、Junos Space設備、Qfabric Director、 CTP Series,以及NSMXpress/NSM3000/NSM4000、STRM/JSA 設備,與 SRC/C Series控制器軟體。

至於 ScreenOS / Netscreen、 JUNOSe / E Series 與 BTI 平臺,以及 Cyphort 設備不受影響。

F5 (參考連結) 新增

已知有VIPRION 及BIG-IP等硬體平臺,可能受到Meltdown與Spectre攻擊的影響。

Mozilla(參考連結

釋出Firefox 57.0.4更新版本,增加利用performance.now() 解析度降低20µs,以及預設禁用SharedArrayBuffer功能,以降低瀏覽器被利用來竊取CPU內記憶體機敏資料的風險。

Red Hat(參考連結

受到Meltdown影響的產品名稱
Red Hat Enterprise Linux 7(已更新)
Red Hat Enterprise Linux 6(部分更新)
Red Hat Enterprise Linux 5(待更新)
RHEL Atomic Host  (待更新)
Red Hat Enterprise MRG 2 (已更新)

受到Spectre影響的產品名稱
Red Hat Enterprise Linux 7 (已更新)
Red Hat Enterprise Linux 6 (部分更新)
Red Hat Enterprise Linux 5 (待更新)
RHEL Atomic Host (待更新)
Red Hat Enterprise MRG 2(已更新)
Red Hat Virtualization 3ELS、4(RHEV-H/RHV-H)(已更新)
Red Hat OpenStack v6 (待更新)
Red Hat OpenStack v7 (待更新)
Red Hat OpenStack v8 (待更新)
Red Hat OpenStack v9(待更新)
Red Hat OpenStack v10 (待更新)
Red Hat OpenStack v11 (待更新)
Red Hat OpenStack v12 (待更新)

 Debian  (參考連結)  

已針對Meltdown攻擊手法提供軟體包更新。

 Ubuntu(參考連結

預計將針對Ubuntu內核和處理器微程式釋出更新。

   
SUSE(參考連結

將為所有企業版SUSE Linux(SLE)推出Meltdown與Spectre修補更新。
目前已釋出更新的SLE版本如下:
SLES 12 SP3
SLES 12 SP2
SLES 12 SP1-LTSS
SLES 12-LTSS
SLES 11 SP4
SLES 11 SP3-LTSS
SUSE CaaS Platform
也將提供AMD 與 Intel處理器微程式包的韌體更新。
將釋出QEMU / KVM更新。

Fedora (參考連結) 新增

已針對Fedora Linux作業系統(含Fedora 26、Fedora 27版本)與Rawhide (內核 4.15最终測試版本)釋出更新修補程式 ,以降低遭到Meltdown攻擊的危害。

Qubes (參考連結) 新增

目前還不清楚Meltdown與Spectre是不是會對Qubes OS系統安全造成不利影響,還在持續調查中。

Fortinet (參考連結) 新增

Fortinet產品是否受影響,仍在調查中。

NetApp (參考連結) 新增

目前旗下ONTAP資料管理軟體並不受Spectre或Meltdown攻擊的影響,包括了在FAS / AFF硬體上操作的ONTAP、ONTAP Select,以及ONTAP Cloud等虛擬化ONTAP產品

StorageGRID產品並無受到直接影響。

另外在SolidFire或NetApp HCI產品上執行的Element OS,亦不受Spectre或Meltdown攻擊的影響。  

LLVM(參考連結

已針對Spectre釋出更新

VMware(參考連結

已針對受影響的
VMware ESXi(6.5、6.0、5.5),VMware Workstation Pro / Player工作站(12.x)和 VMware Fusion Pro / Fusion(8.x)版本釋出更新(適用利用Spectre攻擊手法的CVE-2017-5715與CVE-2017-5753漏洞,除ESXi 5.5版的CVE-2017-5753漏洞,仍待釋出更新)

 Citrix (參考連結)   

經證實已受影響的產品:
Citrix NetScaler SDX
Citrix XenServer
等待第三方更新的產品:
Citrix XenApp/XenDesktop

目前已知不受影響的產品:
Citrix XenMobile Server
XenMobile Server
Citrix NetScaler

Xen (參考連結) 新增

目前所有採用開源Xen系統均受Spectre與Meltdown攻擊的影響。

除了已知Meltdown攻擊能利用啟用HVM 或 PVH模式來達到緩解外,並沒有針對Spectre攻擊的一套緩解作法,未來將先針對利用Spectre攻擊手法的CVE-2017-5715漏洞釋出更新修補程式。

更多詳盡CPU漏洞後續發展,請看iThome的"衝擊全球!CPU驚爆重大漏洞"整理報導!!


Advertisement

更多 iThome相關內容