圖片來源: 

AMD

在1月初Google Project Zero揭露3項漏洞衍生出的Meltdown及Spectre攻擊影響眾CPU業者。AMD也開始釋出更新程式,並分別說明3項漏洞對旗下產品的影響及修補時程。
 
引起這次漏洞風暴的是CPU「推測執行」的設計瑕疵,衍生出的3項漏洞,其中CVE-2017-5753和CVE-2017-5715為Spectre,而CVE-2017-5754為Meltdown(分別稱為變種1、2、3)。
 
雖然Google Project Zero指出AMD也在受影響名單,不過AMD一開始都聲稱該公司產品沒有風險,AMD上周終於做了詳細解釋。首先,由於AMD產品的記憶體分頁(paging)架構使用權限層級的防護,因此CVE-2017-5754/Meltdown不會影響AMD產品。
 
但是CVE-2017-5753及CVE-2017-5715則都影響AMD。針對前者,AMD認為透過作業系統的修補就可以緩解威脅。無奈上周三傳出部份AMD電腦用戶升級Windows釋出的更新後反而無法開機,致使微軟暫緩對AMD包括Opteron、Athlon、AMD Turion X2 Ultra系統平台發佈更新。AMD已經和微軟合作解決問題,預計微軟本周就會重新恢復發佈。此外,Linux業者也已釋出修補程式。
 
另外較困難的CVE-2017-5715漏洞,AMD雖然認為其產品架構可增加攻擊難度,但是AMD仍然與夥伴合作來以降低風險,將結合處理器微碼更新及OS修補程式,提供給AMD用戶與合作夥伴。
 
上周開始AMD已經對Ryzen和EPYC處理器用戶釋出微碼更新,前代產品用戶則會在未來幾周內接獲。這些軟體更新會透過系統及OS供應商釋出;Linux業者已經釋出修補程式,而Windows部分的修補程式,AMD則還在和微軟合力製作。此外,依據Google開源出來以緩解CVE-2017-5715的Retpoline,AMD也正和Linux陣營合作開發中。
 
至於GPU,AMD表示AMD Radeon GPU架構並不使用推測執行技術,故不受影響。

 


Advertisement

更多 iThome相關內容