※ 本文轉寄自 ptt.cc 更新時間: 2018-01-04 23:58:08
看板 Gossiping
作者 標題 [新聞] CPU重大漏洞的風險有多高?美國CERT中心
時間 Thu Jan 4 23:05:43 2018
CPU重大漏洞的風險有多高?美國CERT中心呼籲最好將問題CPU全換掉
這兩天包括英特爾等主要CPU大廠相繼爆出重大處理器漏洞,恐造成機敏資料外洩,而引
發軒然大波。美國電腦網路危機處理中心CERT今日(1/4)更罕見大動作發出漏洞通告,
並提出警告,認為此漏洞將可能導致旁路攻擊(side channel attackse),帶來重大安
全風險,甚至更建議用戶最好全部換掉受影響的CPU,改用其他沒有安全風險的CPU,只不
過,目前絕大部分CPU廠牌都受到此漏洞波及,一時之間,也很難找到其他能用來代替且
未受影響的CPU可用。
發軒然大波。美國電腦網路危機處理中心CERT今日(1/4)更罕見大動作發出漏洞通告,
並提出警告,認為此漏洞將可能導致旁路攻擊(side channel attackse),帶來重大安
全風險,甚至更建議用戶最好全部換掉受影響的CPU,改用其他沒有安全風險的CPU,只不
過,目前絕大部分CPU廠牌都受到此漏洞波及,一時之間,也很難找到其他能用來代替且
未受影響的CPU可用。
根據美國CERT中心的說明,這次出現的CPU漏洞,主要是由於CPU架構設計缺陷所造成的,
可能導致出現Meltdown 與 Spectre這兩個漏洞的旁路攻擊,將讓有心人士可以取得用戶
權限在處理器內來植入惡意程式,而影響到這些有漏洞CPU的裝置安全,例如可以讀取其
他受到保護的內核記憶體存取的資訊,或是繞過KASLR(Kernel Address Space Layout
Randomization )將記憶體內內核程式位置隨機化的保護機制。
可能導致出現Meltdown 與 Spectre這兩個漏洞的旁路攻擊,將讓有心人士可以取得用戶
權限在處理器內來植入惡意程式,而影響到這些有漏洞CPU的裝置安全,例如可以讀取其
他受到保護的內核記憶體存取的資訊,或是繞過KASLR(Kernel Address Space Layout
Randomization )將記憶體內內核程式位置隨機化的保護機制。
CERT也列出目前經查證已確定受影響的CPU廠牌和主要OS廠商,包括了Intel、ARM、AMD、
Apple、Google、Linux Kernel、Microsoft,以及Mozilla。並且持續更新當中。
負責揭露這起CPU重大漏洞的Google Project Zero也點名英特爾、AMD、ARM處理器產品都
受到影響。不過截至目前,只有ARM已在官網上列出受漏洞影響的處理器產品。ARM在稍早
回應提到,受到特定漏洞及攻擊手法影響的CPU系列,包括了Cortex R7、R8、A8、A9、
受到影響。不過截至目前,只有ARM已在官網上列出受漏洞影響的處理器產品。ARM在稍早
回應提到,受到特定漏洞及攻擊手法影響的CPU系列,包括了Cortex R7、R8、A8、A9、
A15、A17、A57、A72、A73、A75。這些處理器通常被用在智慧手機、平板電腦或其他類似
手持式裝置上。因為受影響的系列產品數量較多,目前也正在更新修補中。
英特爾則澄清,這次的處理器漏洞並沒有媒體報導的那麼嚴重,雖然可能有導致部分機敏
資料外洩的風險,但用戶裝置保存的數據,並不會因此遭到惡意破壞、修改或刪除。
至於AMD則是堅持能免於這波處理器漏洞的攻擊,因為採用和其他家不同的架構設計,預
設就不允許記憶體參照,可防止較低權限模式存取較高權限的資料,而造成記憶體分頁錯
誤。甚至認為在特定條件下,自家CPU遭到漏洞攻擊的風險趨近於零。
設就不允許記憶體參照,可防止較低權限模式存取較高權限的資料,而造成記憶體分頁錯
誤。甚至認為在特定條件下,自家CPU遭到漏洞攻擊的風險趨近於零。
iThome
https://www.ithome.com.tw/news/120193
CPU重大漏洞的風險有多高?美國CERT中心呼籲最好將問題CPU全換掉 | iThome
![[圖]]()
這兩天主要CPU大廠相繼爆出有重大處理器設計漏洞,恐造成機敏資料外洩,而引發軒然大波。美國電腦網路危機處理中心CERT更建議用戶最好全部換掉受影響的CPU,改用其他沒有安全風險的CPU。 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/snap1_3.jpg)
講幹話耶 全換?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.14.139
※ 文章代碼(AID): #1QJaBBq7 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1515078347.A.D07.html
推 : AMD這把真的重返榮耀啦!!!!!!!!!1F 01/04 23:06
→ : 是已經賣多久了?2F 01/04 23:06
→ : 三四層樓那麼高3F 01/04 23:06
推 : "不然你要買AMD?"4F 01/04 23:07
AMD這波影響比較小推 : 這些都中標是能換啥 根本講淦話5F 01/04 23:07
推 : 筆電怎辦?6F 01/04 23:07
推 : 到底怎麼攻擊不寫清楚點7F 01/04 23:08
https://meltdownattack.com/meltdown.pdf不用全看,看section 5就好。
→ : 根本沒人會因為這種事換好嗎8F 01/04 23:08
※ 編輯: orze04 (220.135.14.139), 01/04/2018 23:10:33推 : 電蝦有挖出研究論文佐證AMD的說詞與測試結果一致9F 01/04 23:10
推 : 起碼要更新...雖然不會中毒,但是會被看光光...10F 01/04 23:11
推 : 卓粉表示:蛤?被看光光很嚴重嗎?又不是名人怕什麼11F 01/04 23:15
推 : 高通沒有就好了12F 01/04 23:22
推 : XD13F 01/04 23:26
推 : AMD重返農業!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14F 01/04 23:27
→ : ...五年前的cpu有沒有漏洞?15F 01/04 23:27
推 : 這是要怎麼換 換小教授嗎? 全都中了啊?16F 01/04 23:33
推 : Qualcomm的600系列也是有包到Cortex A7217F 01/04 23:34
→ : 更新效能降30趴 那我還是不更新了18F 01/04 23:41
噓 : 一般人是有什麼機密可以怕被盜取啦,幹19F 01/04 23:47
→ : 如果早17年出現這問題的話 威盛就..........20F 01/04 23:48
推 : MTK21F 01/04 23:50
--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 38
回列表(←)
分享