Skip to content

Home 特別報告 Meltdown 與 Spectre 攻擊
Meltdown 與 Spectre 攻擊
週日, 07 一月 2018 00:00

漏洞及攻擊描述:
"Meltdown" 與 "Spectre" 攻擊是針對目前處理器存在的硬體漏洞來進行利用。 "Meltdown" 允許攻擊者讀取目標系統中任意內核內存空間或任意實體記憶體空間 。"Spectre" 則允許攻擊者利用任一程序泄漏儲存於記憶體中的敏感信息。

CVE編號:
CVE-2017-5753/CVE-2017-5715/CVE-2017-5754

受影響系統:
系統配置的處理器若允許亂序執行指令,或系統所使用的作業系統未進行更新都可能受到 Meltdown 攻擊。此系統可能是桌上型電腦,筆電,及雲端電腦等。系統配置的處理器若在分支預測中採用推測執行則可能受到 Spectre 攻擊。此系統可能是桌上型電腦,筆電,及雲端服務器及智慧型手機等。

防範措施:
使用者應進快讓所有受影響的裝置安裝可用的更新。

  • Windows: Microsoft 於一月份已發佈可用的安全更新及相關更新指引
  • MacOS: Apple 上個月發佈的 macOS High Sierra 10.13.2 更新中已修正部分問題, 並將在 MacOS 10.13.3 中提升或完善其解決方案。
  • Linux: 多數 Linux 開發者都已經發佈更新,利用內核頁表隔離 (KPTI)技術,將內核空間與用戶空間完全隔離以解決信息泄露的問題。
  • Android: Google 已在 Android 一月份安全補丁中發佈 Pixel/Nexus 的安全更新。其他 Android 使用者須等候其所屬的裝置製造商發佈可用的更新。
  • Firefox 瀏覽器: Mozilla 發佈的 Firefox 57.0.4 已可防止 Meltdown 與 Spectre 的時序攻擊。建議使用者盡快更新至該版本。
  • Google Chrome 瀏覽器: Google 已計畫於一月二十三日發佈 Chrome 64 來保護桌上型電腦及行動裝置安裝的 Chrome 瀏覽器免於受到 Meltdown 與 Spectre 的攻擊。
  • VMware: VMware 已發佈受影響的產品清單及 ESXi, Workstation 與 Fusion 等產品對於避免受到 Meltdown 攻擊的安全更新

參考資料:
https://meltdownattack.com/
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf
https://thehackernews.com/2018/01/meltdown-spectre-patches.html
https://www.kb.cert.org/vuls/id/584653

 
[YOUR IP: 100.24.209.47: 56650] ...   [YOUR BROWSER: CCBot/2.0 (https://commoncrawl.org/faq/)] ...