英特尔、ARM与AMD相继回应重大内存洩露漏洞
稍早媒体报导英特尔处理器漏洞可能导致内存资料外洩,为让外界对这件事有更多的资讯 Google Project Zero小组揭露 更多资讯,点名英特尔、ARM、AMD产品都受到影响。英特尔也出面澄清受影响的不只有英特尔,AMD、ARM甚至是Nvidia也相继做出回应。
周三 英特尔被爆 重大内存洩露漏洞,造成机敏资料外洩,影响该公司近10年以来的多代产品。英特尔 迅速发出声明 ,措词强烈指出昨日来一些声称攻击由“臭虫”或“瑕疵”引起,而且只限英特尔产品的媒体报导并不正确。
一些报导指出英特尔处理器设计上的瑕疵可使作业系统核心内存内容为JavaScript Web或其他应用程式读取。英特尔指出,这种所谓的攻击,是来自快取时间旁道攻击的软件分析法遭恶意使用下的结果,并不会造成资料损毁、被窜改或删除。而媒体所指出修补后会造成的效能下降也要看一般使用者执行的负载类型而定,因此问题不如报导严重,过些时日也会获得纾解。
Google Project Zero的研究 人员点名英特尔、AMD、ARM产品都受到影响。Google工程师Jann Horn指出,该小组早在去年即已发现内存任意读取漏洞及攻击,并在6月1日通知英特尔、AMD及ARM。Google并证实Intel Haswell Xeon CPU、AMD FX CPU、 AMD PRO CPU 及ARM Cortex A57完成概念验证攻击。Google同时公布了三种旁路攻击手法。
尽管被点名,但AMD工程师 Tom Lendacky稍早表示 ,AMD产品架构预设不允许内存参照,包括推测性参照,可防止较低权限模式存取较高权限的资料而造成这次的内存分页错误。 ZDNet引述AMD官方声明报导 ,基于不同的架构设计,AMD能免于上述三种攻击,并认为到目前为止AMD处理器受到攻击的风险几近于零。
ARM在 今天稍早回应 有部份产品核心受到特定漏洞及攻击手法影响。其中开采CVE-2017-5753的边界检查迴避及开采CVE-2017-5715的分支目标程式码影响Cortex R7、R8、A8、A9、A15、A17、A57、A72、A73、A75。至于开采CVE-2017-5754的恶意资料快取载入则还影响最高阶的Cortex-A75。
ARM表示,Cortex R系列一般使用模型皆为控管严格的封闭环境,故没有遭攻击的风险。针对执行Linux的ARM产品客户,ARM也提供修改程式码片段说明。至于Android及其他作业系统的ARM用户则必须等待个别更新。 Nvidia则表示 ,该公司相信GPU硬体免于这次的安全问题,而该公司也正在更新GPU以降低CPU的安全风险。至于Nvidia为ARM CPU合作的SoC产品经过分析已找出受影响范围,也已着手处理中。