不只 Intel 出包,Google 資安團隊:不得了,所有 CPU 廠商都中獎

這次的 Intel CPU 事件,AMD 也中獎。

昨日(3 日),TO 報導了 Intel 的 CPU 重大漏洞 ,並指出大型的雲端服務提供商如 Google 和微軟、亞馬遜等公司將可能受到影響,且一般民眾,無論 Windows、Linux 或 Mac 都會受到波及。

當時,另外一家 CPU 製造商 AMD 表示,旗下的 CPU 並沒有本次問題中提及的漏洞,因此是安全的。

但這個說法可能要被打上一個問號了。

Google 打臉:這個漏洞所有 CPU 都可能有(包含 AMD)

稍早,針對相關的狀況,Google 發布了聲明 ,表示大眾不必擔心,目前 Google 已經完成對旗下雲端中心的安全強化,並且避免了用戶在這次的風波中受到影響。

但 Google 也加碼表示,其實在去年的時候,他們的 Project Zero 團隊(Google 旗下的資安團隊,專門研究尚未被公開的電腦潛在危害漏洞)就發現了這個漏洞。

團隊表示,他們在發現的時候便通知了晶片廠商,這個問題很可能是由於一個被稱作「Speculative Execution(推測性執行)」的功能所引起。這是一項先進的技術,理論上能讓晶片從根本上推測,接下來邏輯上可能會收到哪些運算指令,並提早進行處理,以加速 CPU 的運作。

然而,這樣的技術卻也讓駭客有機可乘,能輕易地察看在物理上屬於同一個記憶體中的其他資訊,例如儲存其中的密碼和加密密鑰,使得資安出現漏洞。

根據團隊的報告,這個漏洞會影響到所有的晶片製造商,除了 Intel 以外, 包含 AMD 和 ARM 等製造商也包含在內。

部分圖片素材來源:WIKIPEDIA

Intel:我們原本下周就要公布這消息的,沒有要隱瞞

Intel 的部落格新聞稿也表示 ,這次的漏洞並非只有 Intel 單家廠商的問題,因此 Intel 才會需要連合 AMD 與 ARM 等廠商共同協調安全修正。

同時,Intel 也表示,之所以 Google 發現問題後第一時間通知 Intel 時,Intel 與 Google 並沒有即時向大眾公布,是因為所有受影響的廠商們原本是想要於 1 月 9 日時發布統一的聲明,同時發布解決方案(更新),但由於這項消息提早被洩漏,為了避免媒體與大眾的不正確猜測,他們才決定提早於現在提出官方說明。

最後,Intel 表示外界傳出的修補導致速度緩慢的問題,對於一般使用者而言影響應該不大,而且理論上影響會隨著時間逐步減少。

我的推測是,若這次的 CPU 漏洞真的來自於 Google 所提到的「推測性執行」引起的化,目前針對已經出產的 CPU ,修部方式應該就是透過改寫作業系統,來關閉這個功能,但由於這個功能是 CPU 可以進一步加速的關鍵,因此關閉這個功能勢必造成 CPU 的運算速度下降,這也符合了外界傳言「當修正完成後 CPU 效能會降低」的說法。

我用 Google ,我需要做什麼事情?

既然這次的漏洞嚴重到各大龍頭廠商都不惜成本動員要修補,理論上應該是很嚴重的問題,前面也提過 Google 的雲端服務是在受到影響的範圍內,那對於一般有使用到 Google 服務的使用者,是否需要做什麼事情來保護自己呢?

對此,Google 針對旗下服務受到的影響 整理了一份表格 ,簡單統整如下:

  • 使用 Google 服務(Gmail 、雲端硬碟、相簿、Youtube… 等)與 G Suite 服務者不必進行任何額外動作。
  • 使用 Google Chrome 瀏覽器電腦版者,無論哪種作業系統,若是有安全考量的人,可更新至最新版(版本開頭號為 63),電腦版使用者可在網址列輸入「chrome://flags/#enable-site-per-process」將「Full Site isolation」功能啟動。
  • Google Chrome 的 Android 使用者可使用「chrome://flags」找到相關啟動選項,但須注意可能影響效能表現。
  • Google Chrome 的 iOS 使用者,由於 Apple 的技術規範,這次的漏洞修補將由 Apple 修正。
  • Google 雲端平台(Cloud Platform)、Google Home / Chromecast、Google Wifi / OnHub 等服務目前在已知攻擊模式中不受影響。

想知道更多的細節, 可參照這個網站內容(英文)

參考資料來源:
《TechCrunch》:Google’s Project Zero team discovered critical CPU flaw last year
Google Security Blog:Today’s CPU vulnerability: what you need to know
WIKIPEDIA:Project Zero
Intel Newsroom:Intel Responds to Security Research Findings
Google 說明:Product Status, Google’s Mitigations Against CPU Speculative Execution Attack Methods

─ ─

(本文提供合作夥伴轉載,首圖來源:Christiaan Colen,CC Licensed。)

到底還有多少這種恐怖的資安漏洞?

Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修
Intel CPU 裡「有鬼」:大漏洞讓駭客可以截圖錄音偷資料,想躲也躲不掉
Mac 資安漏洞讓你也能當駭客:帳號輸入 root,連戳 Enter 就能破解密碼!


人工智慧 x 雲端應用 Solution 是什麼?
10 分鐘填寫 TO 趨勢調查問卷,就送您人工智慧黃金時代必備祕笈:

1. 結果分析報告
2.專家客製化 IT 雲端轉型完整建議

>> 填問卷 Get 祕笈

點關鍵字看更多相關文章: