示意圖,與新聞事件無關。

Google的Project Zero團隊在今年1月對外公開了存在於CPU上的推測執行瑕疵,當時研究人員指出該瑕疵衍生出CVE-2017-5753、CVE-2017-5715與CVE-2017-5754等3個變種漏洞,但Arm、Google與微軟又再度發現相關的CVE-2018-3640及CVE-2018-3639兩個新變種漏洞,包含英特爾微軟等業者亦統一於本周一(5/21)發表聲明或釋出修補。

在推測執行瑕疵剛公布時,研究人員打造了兩款概念性驗證攻擊程式,一是同時開採CVE-2017-5753與CVE-2017-5715的Spectre,二是只開採CVE-2017-5754的Meltdown。其中,Spectre可強迫CPU揭露它的數據,Meltdown則能用來消融硬體所建立的安全疆界,將允許程式存取裝置上的記憶體內容,波及桌機、筆電與雲端電腦。上述漏洞又被稱為變種1(CVE-2017-5753)、變種2(CVE-2017-5715)與變種3(CVE-2017-5754)。

新發現的CVE-2018-3640漏洞因與變種3有關而被命名為變種3a,它允許握有本地端權限的駭客利用旁路分析推測性地讀取系統參數,並取得機密資料。

另一個衍生漏洞CVE-2018-3639則是變種4,屬於推測繞過漏洞,將讓駭客存取CPU中較舊的記憶體值或其它記憶體區域,可用來讀取任意權限的資料,或是在推測性地執行較舊的命令時造成快取配置,再以標準的旁路方法汲取資料。

包括英特爾、AMD、微軟或紅帽等業者都統一於本周一發表了修補程式或聲明。其中,英特爾已釋出測試版的微碼更新予OEM系統製造商與系統軟體製造商,BIOS及軟體更新可望於未來幾周出爐。

英特爾的微碼更新同時修補了變種3a與變種4漏洞,其中,針對變種3a的緩解並不會對效能造成明顯影響,但鎖定變種4的緩解則可能對客戶端或伺服器系統產生2%~8%的效能波動,因此,緩解變種4的預設值是關閉的,可由客戶自行選擇是否啟用。

AMD則說,迄今尚未發現AMD的x86產品受到變種3a的影響,對於變種4則建議用戶部署微軟或Linux版本的緩解更新,且變種4其實並不容易開採。

ARM表示,針對此一瑕庛的快取推測旁路攻擊必須在本地裝置上安裝惡意程式,只要遵循安全政策就能避免遭到攻擊,只有少數ARM處理器受到上述變種漏洞的影響,遭到變種3a波及的為Cortex-A15、Cortex-A57與Cortex-A72,而變種4則影響Cortex-A57、Cortex-A72、Cortex-A73與Cortex-A75。

由於一般認為變種3a並無必要藉由軟體來緩解,因此微軟在本周一只針對變種4發表聲明,並表示一旦在微軟產品或雲端服務架構中發現可能惹來攻擊的脆弱程式就會展開修補,惟目前尚無所獲。

紅帽則說,要藉由更新Linux核心來緩解變種4漏洞可能帶來新的安全危機,應與Linux核心社群建立最佳實作共識,也會適時釋出紅帽產品的緩解更新。


Advertisement

更多 iThome相關內容