Microsoft、Linux、Google 和 Apple 已開始釋出修補更新來解決資安研究人員發現並命名為「Meltdown」和「Spectre」的處理器設計漏洞。以下是有關這些漏洞您該知道的事情。

「Meltdown」和「Spectre」是什麼？

Meltdown 是一個編號為 CVE-2017-5754 的漏洞，可讓駭客以系統權限存取應用程式與作業系統所用到的某些記憶體。Meltdown 影響的是 Intel 處理器。

Spectre 是編號 CVE-2017-5753 與 CVE-2017-5715 兩個漏洞的統稱，可讓駭客竊取系統核心／快取檔案內的資料，或是執行中程式儲存在記憶體內的資料，例如：登入憑證（密碼、金鑰等）。根據報告指出，Spectre 漏洞影響的處理器包括：Intel、Advanced Micro Devices（AMD）及 Advanced RISC Machine（ARM）。

今日的處理器設計都具備「預測執行」功能，也就是說，它會「預測」接下來將要執行的工作，然後預先將這些工作排入序列，藉此提高資料處理效率，進而提升應用程式／軟體的執行速度。這是業界用來讓處理器效能最佳化的一項技巧，但現在這項技巧卻可能遭到駭客利用，經由這項漏洞來存取一些正常情況下受到隔離保護的資料。

衝擊層面有多大？

據稱自從 1995 年起所生產的 Intel 處理器皆受到 Meltdown 漏洞所影響，至於 Spectre 漏洞則是影響採用 Intel、AMD 和 ARM 處理器的裝置。Meltdown 漏洞跟提升權限的機制有關，Spectre 則是關於應用程式在記憶體內的敏感資料可能遭到存取。

潛在的衝擊層面相當廣泛：桌上型電腦、筆記型電腦、智慧型手機等，凡是採用受影響的處理器，都可能發生未經授權的資料存取與竊盜。此外，凡是使用前述處理器的雲端運算、虛擬環境、使用者共用伺服器等資料中心和企業環境，也都受到影響。

另外值得注意的是，Windows 和 Linux 作業系統目前釋出的修補更新，據稱可能降低 5% 至 30% 效能，視工作負載而定。

Google 的 Project Zero 團隊已針對某些軟體證明了漏洞攻擊的可行性（概念驗證）。所幸，Intel 和 Google 目前尚未看到真正利用這些漏洞的攻擊。

問題解決了嗎？

Microsoft 已搶先在每月定期更新之前發出安全公告與安全建議來解決 Windows 10 系統可能面臨的上述問題。至於 Windows 7 和 Windows 8 的修補更新則預定在 1 月 9 日的每月定期更新釋出。此外，Microsoft 也針對用戶端和伺服器發布了相關的建議和最佳實務原則。

Google 已針對可能受到影響的基礎架構與產品（YouTube、Google Ads、Chrome 等）推出防範措施。同時也發表了 Android 的安全修補更新（Security Patch Level）來防範可能利用 Meltdown 和 Spectre 漏洞的攻擊。此外，更將在 1 月 5 日針對 Android 另外釋出一個獨立的安全更新。請注意，由於 Android 系統的更新需經由 OEM 廠商取得，因此使用者必須根據自己的手機廠牌洽詢相關廠商。Nexus 和 Pixel 裝置則可自動下載更新。

Apple 的 macOS 作業系統據稱在 10.13.2 當中已經修補了相關漏洞。此外，64 位元的 ARM 核心也已獲得更新。VMWare 也發布了自己的安全建議。Mozilla 團隊已證實駭客可能經由瀏覽器發動攻擊，因此也推出了 Firefox 57 來解決相關漏洞。

（本文轉載自資安趨勢部落格；首圖來源：Flickr/Yuri Samoilov CC BY 2.0）