导语:本周二,微软和AMD共同发布了针对“Spectre”(幽灵)漏洞的微代码和安全更新程序。
本周二,微软和AMD共同发布了针对“Spectre”(幽灵)漏洞的微代码和安全更新程序。
漏洞情况
“Spectre”(幽灵)和“Meltdown”(熔断)漏洞对处理器(CPU)行业的影响可谓是空前的,Intel、AMD、ARM等处理器供应商以及Windows、Linux等操作系统均受到深浅不一地影响。攻击者可以利用“Spectre”和“Meltdown”攻击绕过内存隔离机制并访问目标设备敏感数据。其中“Meltdown”攻击还可能允许攻击者读取目标设备的全部物理内存,并窃取凭据和个人隐私信息等内容。
Meltdown可以利用预测执行(speculative execution,即一个用于执行未明指令流的区域)来打破用户应用程序和操作系统之间最基本的隔离,如此一来,就允许任何应用程序访问其他程序和操作系统的内存,从而读取敏感私密的信息。该漏洞“熔断”了由硬件来实现的安全边界,允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。
Spectre则是破坏了不同应用程序之间的隔离,允许用户模式(user-mode)应用程序从运行在同一系统上的其他进程中提取信息。此外,它也可以被用来通过代码从自己的进程中提取信息,例如,恶意JavaScript可以用来从浏览器的内存中为其他网站提取登录cookie。
此外,Meltdown攻击还触发了CVE-2017-5754漏洞,而Specter攻击则触发了CVE-2017-5753(变种1)和CVE-2017-5715(变种2)漏洞。据专家介绍,只有Meltdown和Specter V1可以通过软件来解决,而Spectre V2则需要更新受影响处理器的微代码才能解决。
更新发布情况
据悉,Intel已经完成了对过去五年处理器产品中的Specter V1漏洞的修复工作,而针对Specter V2漏洞,Intel处理器将在未来进行硬件层面的重新设计来实现免疫,首批产品是下一代Xeon Cascade Lake和下半年即将发布的第八代酷睿新系列。
而AMD方面也于本周二发布了针对Specter V2攻击的补丁程序,其中包括微代码和操作系统更新。AMD公司在其发布的最新通报中指出,
今天,我们正式为微软Windows用户提供了关于Specter V2的补丁程序。这些缓解措施要求AMD CPU用户既要升级来自OEM和主板厂商的微代码更新,也需要将Windows升级至最新版本。对于Linux 用户,AMD推荐的Specter V2缓解措施已经提供给我们的Linux合作伙伴,并已于今年早些时候发布。
微软最初在1月份发布了针对基于AMD系统的Spectre安全补丁,但由于不稳定问题,微软被迫暂停了补丁发放。
AMD专家在其发布的公告中表示,
虽然我们认为在AMD处理器上利用Spectre V2相当有难度,但是,为了进一步降低安全风险,我们仍然选择积极地与合作伙伴合作,为AMD处理器提供微代码和操作系统更新的组合。
AMD用户可以通过下载制造商提供的BIOS更新来安装微代码,而Windows 10更新程序也已经在微软四月份的“周二补丁日”正式释放。微软本周二发布的Windows 10更新中包括针对AMD设备的Spectre V2缓解措施。另外,AMD称,针对Windows Server 2016的修补程序则正在进行最后的测试,预计很快就会正式向使用者推送。