整理一下這兩天的超大條資訊新聞 – Intel 這十年來製造的 CPU 都存在一個漏洞,可能讓攻擊者偷走存在記憶體裡的機密資料,不管你是用 Windows、Mac 還是 Linux 都會中獎,當今之計是靠更新作業系統補救,但要付出電腦變慢 5% – 30% 的代價。
Google Project Zero 團隊發現當今 CPU 採用的「推測執行」(speculative execution)技術有個漏洞,在最糟糕的情況下攻擊者可以任意讀取虛擬記憶體,這問題在 Intel、AMD、ARM 都可能存在[1]。去年 6 月發現後已通報 CPU 及作業系統廠商,但最近媒體及社群已開始報導及猜測,Google 決定提前公開。
Intel 承認這十年來製造的 CPU 都有存在此一安全漏洞,Intel 主張 AMD、ARM 也可能會遭受類似攻擊,但 AMD 否認,主張其晶片設計與 Intel 不同遇到類似問題的機率為零。[2]另外公開事件的研究人員也認為 AMD CPU 不受影響。[3]
在大型數據中心(雲端運用)此一漏洞顯得格外嚴重,原因是攻擊者可使用 A 帳號登入後看到客戶 B 帳號放在記憶體內的資料(個資、交易內容、密碼...) [3],比起入侵單一主機更容易接觸到原本摸不到的資料,但能獲取什麼資訊要看攻擊當下記憶體內容而定,未必如想像中容易。
由於問題出在 CPU 硬體,全面召回換新是不可能的,故現今的解決之道是修改作業系統防堵(加入「內核隔離」功能),Linux 已逐步修正,Windows 也已從去年 11 月起進行修補,而社群就是在 Linux 原始碼發現可疑調整消息才洩漏(基於安全,Linux 程式碼相關修改日誌已經打上馬賽克了) [3],至於 Mac 的處理進度尚不清楚,但肯定不修不行。[4] 從作業系統層次加上防護的代價是電腦的執行效能將下降 5% - 30% 不等。
心得:
1) 未來幾個月網管會很忙(要更新的機器數量應該很驚人)
2) 所有使用 Intel CPU 的人要在電腦變慢跟資料被偷之間二選一
【參考資料】
- Google:CPU漏洞影響不只英特爾,還有AMD與ARM – iThome
- Intel認了CPU有安全漏洞 指AMD、ARM也有問題 - 財經 - 自由時報電子報
- Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修 – TechOrange
- 出大事了 英特爾CPU漏洞修復將削弱Mac性能