※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2018-01-04 15:43:38
看板 Gossiping
作者 標題 [新聞] Google:CPU漏洞影響不只英特爾,還有AMD
時間 Thu Jan 4 13:26:54 2018
1.媒體來源:
iThome
2.完整新聞標題:
Google:CPU漏洞影響不只英特爾,還有AMD與ARM
3.完整新聞內文:
Google安全團隊Project Zero去年便發現處理器中的「推測執行」隱含有重大漏洞,不當的推測執行可能濫用CPU資料快取的時間安排導致資料外洩,並可衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。
Google於本周三(1/3)指出,現今大多數的中央處理器(CPU)都受到「推測執行」(speculative execution)漏洞的影響,允許駭客讀取系統記憶體,從密碼、加密金鑰或是程式中的機密資訊,波及了英特爾(Intel)、AMD與ARM的處理器產品,原本業界計畫要在1月9日共同揭露,但因媒體及安全社群已開始報導及猜測,增加了漏洞被開採的風險,使得Google決定提前公布。
「推測執行」為一處理器最佳化技術,讓具備額外資源的電腦系統事先執行一些任務,在需要時就能使用以改善效能並預防延遲,被應用在現代大多數的CPU中。
然而,Google的Project Zero團隊去年便發現「推測執行」中隱含有一重大安全漏洞,不當的推測執行可濫用CPU資料快取的時間安排而造成資料外洩,在最糟糕的情況下可跨越本地端的安全界線而衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。
Google說明,為了改善效能,許多CPU都會基於可能是真的假設來執行推測指令,並在推測執行中驗證這些假設,若是有效的便繼續執行,無效時即會鬆開執行,並因應真實的情況啟動正確的執行路徑;不過,「推測執行」在CPU處於鬆開狀態時可能會出現一些無法復原的副作用,進而導致資料外洩。
相關漏洞同時影響了英特爾、AMD與ARM的處理器,也影響採用這些處理器的裝置與作業系統。Google已於去年6月1日將漏洞資訊提交給上述處理器業者。
若要開採「推測執行」漏洞必須先於目標系統上執行惡意程式,此外,並無任何單一修補程式可一次解決已知的3種變種漏洞,得分別修補以提供保護,現階段已有許多業者防堵了其中1個或多個攻擊途徑。
文/陳曉莉 | 2018-01-04發表
4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/120180
Google:CPU漏洞影響不只英特爾,還有AMD與ARM | iThome
![[圖]]()
Google安全團隊Project Zero去年便發現處理器中的「推測執行」隱含有重大漏洞,不當的推測執行可能濫用CPU資料快取的時間安排導致資料外洩,並可衍生出至少3種可任意讀取虛擬記憶體的變種漏洞。 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/gdc_2_1.jpg)
5.備註:
搞了半天是 Google 的資安 team 先發現的 XDD
說好的 AMD 風險接近零??
現在該信哪一邊呢?
還是說大家都降 20%,可以和平共處~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.110.199
※ 文章代碼(AID): #1QJRiXoE (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1515043617.A.C8E.html
→ : 我相信GOOGLE1F 01/04 13:27
→ : Google可信2F 01/04 13:27
推 : Google的技術已經屌打3F 01/04 13:28
推 : 懂惹 樓下懂惹沒?4F 01/04 13:29
推 : 幹!Google發現的喔?...看樣子是大家都在裝傻5F 01/04 13:30
推 : 重返農藥 …咦?6F 01/04 13:30
→ : 一般用戶也沒人要駭 跟肥宅無關 是政府機關 名人權貴7F 01/04 13:31
→ : 才怕駭客吧
→ : 才怕駭客吧
推 : 把虛擬記憶體關掉不就好了 反正也沒人在用 = =9F 01/04 13:31
推 : 笑死,這臉打的10F 01/04 13:31
推 : PowerPC也有 IBM也不要跑!!11F 01/04 13:32
→ : 這是給你加碼的 重返農藥指日可待12F 01/04 13:33
推 : Google:唉!這些廢渣!那個AlphaGo~ 幫我設計一款新的CPU13F 01/04 13:33
推 : apple表示 :學我14F 01/04 13:34
→ : 但是amd多線程影響應該比較小15F 01/04 13:34
推 : 明天AMD大概也要洩了16F 01/04 13:34
推 : AMD : 幹 錶我 AMD 又崩盤惹17F 01/04 13:35
→ : 沒有要駭一般人? 原來信用卡盜刷 密碼外洩都不是一般人18F 01/04 13:36
推 : Intel三種全中,AMD只有舊的CPU中一種吧19F 01/04 13:37
推 : 趕快挖角狗狗20F 01/04 13:38
※ 編輯: ckenken (118.163.110.199), 01/04/2018 13:39:55推 : 英特爾,AMD裝傻......google表示:..21F 01/04 13:39
推 : AMD粉崩潰了22F 01/04 13:40
推 : 不太懂這麼多年難到都沒有駭客發現這個漏洞嗎?23F 01/04 13:40
推 : 哈哈哈 通通有 一個都不用跑24F 01/04 13:40
推 : 重返農.. 等等25F 01/04 13:40
※ hihjk:轉錄至看板 PC_Shopping 01/04 13:40
推 : AMD:幹 讓林北多漲2天不好嗎26F 01/04 13:42
推 : wwwww27F 01/04 13:42
推 : GOOGLE要出來做CPU了嗎!!!28F 01/04 13:44
推 : AMD都說沒事0風險了~ 六月就發現bug了 現在intel又在混29F 01/04 13:45
→ : 不管啦 AMD重返農藥啦30F 01/04 13:46
→ : 淆視聽~ AMD明天繼續漲~ 無誤!31F 01/04 13:46
→ : 問題是你OS更新後 用Intel會-20%效能~ 但AMD不會~ intel
→ : 問題是你OS更新後 用Intel會-20%效能~ 但AMD不會~ intel
推 : G家:給你們半年時間賣股票33F 01/04 13:47
→ : 十年內的CPU都中~ 你可以選擇不更新~ 但是firefox IE34F 01/04 13:47
→ : chrome的儲存帳號密碼都有機會被盜用~
→ : chrome的儲存帳號密碼都有機會被盜用~
→ : GG36F 01/04 13:48
噓 : 鄉民這麼容易被帶風向。三家都有的漏洞比較難被利用37F 01/04 13:50
→ : 。這次新聞主要是報Intel「另外」獨有的漏洞,較容
→ : 易攻擊。
→ : 。這次新聞主要是報Intel「另外」獨有的漏洞,較容
→ : 易攻擊。
推 : Power和SPARC和MIPS和RISC-V沒事嗎?40F 01/04 13:51
→ : 去看英文新聞。記者又亂製造風向。41F 01/04 13:51
→ : Google: 我是說,在座的各位都是__42F 01/04 13:52
推 : 怎麼不說報intel是獨有漏洞的才是假新聞?43F 01/04 13:57
→ : 你驗證過了嗎?
推 : 不否認現在一堆新聞很有問題 但拿另一個疑似假新聞
→ : 的報導來驗證一個新聞的真實與否 這不是很可笑
→ : 你驗證過了嗎?
推 : 不否認現在一堆新聞很有問題 但拿另一個疑似假新聞
→ : 的報導來驗證一個新聞的真實與否 這不是很可笑
→ : 哪來的AMD降20%? AMD中獎的是另外一個 INTEL那個47F 01/04 14:08
→ : AMD是趨近於零沒有錯 發文前先用點X
→ : AMD是趨近於零沒有錯 發文前先用點X
推 : 還好我沒用網路時都會順手拔網路線49F 01/04 14:08
推 : 正常人都會相信GOOGLE吧...50F 01/04 14:10
噓 : cyshown在公三小51F 01/04 14:11
噓 : 這是兩個不一樣的漏洞吧 記者在供三洨?????????52F 01/04 14:11
推 : 昨天AMD還在笑INTEL, 嘖嘖53F 01/04 14:21
→ : ???? 先去看看漏洞在做什麼吧? 兩個漏洞不一樣唉54F 01/04 14:27
噓 : 推文一堆不懂的 解法是隔離user/kernel page table55F 01/04 14:29
→ : 不管哪家CPU 都會掉5~30%
→ : 不管哪家CPU 都會掉5~30%
→ : 樓上才不懂吧,google公佈的三個variant,第一個三家都有的57F 01/04 14:30
→ : 需要有符合條件的kernel interpretor/JIT compiler
→ : 最嚴重的且修改影響效能的是第三個就是intel才有的
→ : 需要有符合條件的kernel interpretor/JIT compiler
→ : 最嚴重的且修改影響效能的是第三個就是intel才有的
→ : 我該相信誰?60F 01/04 14:35
推 : 死光了 還有哪家CPU能用?61F 01/04 14:36
推 : exploited 被開採??63F 01/04 14:40
推 : AlphaGo: 發現CPU缺陷..取得主控權限...天網誕生~~~64F 01/04 14:43
--
1樓 時間: 2018-01-04 17:56:21 (台灣)
→
01-04 17:56 TW
Google已於去年6月1日將漏洞資訊提交給上述處理器業者。 都超過半年前的事了....
回列表(←)
分享