AMD陸續修補Spectre漏洞，本周解決Windows更新後無法開機問題

在1月初Google Project Zero揭露3項漏洞衍生出的Meltdown及Spectre攻擊影響眾CPU業者。AMD也開始釋出更新程式，並分別說明3項漏洞對旗下產品的影響及修補時程。
 
引起這次漏洞風暴的是CPU「推測執行」的設計瑕疵，衍生出的3項漏洞，其中CVE-2017-5753和CVE-2017-5715為Spectre，而CVE-2017-5754為Meltdown（分別稱為變種1、2、3）。
 
雖然Google Project Zero指出AMD也在受影響名單，不過AMD一開始都聲稱該公司產品沒有風險，AMD上周終於做了詳細解釋。首先，由於AMD產品的記憶體分頁(paging)架構使用權限層級的防護，因此CVE-2017-5754/Meltdown不會影響AMD產品。
 
但是CVE-2017-5753及CVE-2017-5715則都影響AMD。針對前者，AMD認為透過作業系統的修補就可以緩解威脅。無奈上周三傳出部份AMD電腦用戶升級Windows釋出的更新後反而無法開機，致使微軟暫緩對AMD包括Opteron、Athlon、AMD Turion X2 Ultra系統平台發佈更新。AMD已經和微軟合作解決問題，預計微軟本周就會重新恢復發佈。此外，Linux業者也已釋出修補程式。
 
另外較困難的CVE-2017-5715漏洞，AMD雖然認為其產品架構可增加攻擊難度，但是AMD仍然與夥伴合作來以降低風險，將結合處理器微碼更新及OS修補程式，提供給AMD用戶與合作夥伴。
 
上周開始AMD已經對Ryzen和EPYC處理器用戶釋出微碼更新，前代產品用戶則會在未來幾周內接獲。這些軟體更新會透過系統及OS供應商釋出；Linux業者已經釋出修補程式，而Windows部分的修補程式，AMD則還在和微軟合力製作。此外，依據Google開源出來以緩解CVE-2017-5715的Retpoline，AMD也正和Linux陣營合作開發中。
 
至於GPU，AMD表示AMD Radeon GPU架構並不使用推測執行技術，故不受影響。