Google：CPU漏洞影響不只英特爾，還有AMD - 3C

※ [本文轉錄自 Gossiping 看板 #1QJRiXoE ]

作者: ckenken (混沌之子) 看板: Gossiping
標題: [新聞] Google：CPU漏洞影響不只英特爾，還有AMD
時間: Thu Jan 4 13:26:54 2018

1.媒體來源:
iThome

2.完整新聞標題:
Google：CPU漏洞影響不只英特爾，還有AMD與ARM


3.完整新聞內文:

Google安全團隊Project Zero去年便發現處理器中的「推測執行」隱含有重大漏洞，不當的推測執行可能濫用CPU資料快取的時間安排導致資料外洩，並可衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。

Google於本周三（1/3）指出，現今大多數的中央處理器（CPU）都受到「推測執行」（speculative execution）漏洞的影響，允許駭客讀取系統記憶體，從密碼、加密金鑰或是程式中的機密資訊，波及了英特爾（Intel）、AMD與ARM的處理器產品，原本業界計畫要在1月9日共同揭露，但因媒體及安全社群已開始報導及猜測，增加了漏洞被開採的風險，使得Google決定提前公布。

「推測執行」為一處理器最佳化技術，讓具備額外資源的電腦系統事先執行一些任務，在需要時就能使用以改善效能並預防延遲，被應用在現代大多數的CPU中。

然而，Google的Project Zero團隊去年便發現「推測執行」中隱含有一重大安全漏洞，不當的推測執行可濫用CPU資料快取的時間安排而造成資料外洩，在最糟糕的情況下可跨越本地端的安全界線而衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。

Google說明，為了改善效能，許多CPU都會基於可能是真的假設來執行推測指令，並在推測執行中驗證這些假設，若是有效的便繼續執行，無效時即會鬆開執行，並因應真實的情況啟動正確的執行路徑；不過，「推測執行」在CPU處於鬆開狀態時可能會出現一些無法復原的副作用，進而導致資料外洩。

相關漏洞同時影響了英特爾、AMD與ARM的處理器，也影響採用這些處理器的裝置與作業系統。Google已於去年6月1日將漏洞資訊提交給上述處理器業者。

若要開採「推測執行」漏洞必須先於目標系統上執行惡意程式，此外，並無任何單一修補程式可一次解決已知的3種變種漏洞，得分別修補以提供保護，現階段已有許多業者防堵了其中1個或多個攻擊途徑。

文/陳曉莉 | 2018-01-04發表

4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/120180

5.備註:

搞了半天是 Google 的資安 team 先發現的 XDD

說好的 AMD 風險接近零？？
現在該信哪一邊呢？

還是說大家都降 20%，可以和平共處~

--