AMD和微軟發布針對Spectre漏洞的微代碼和操作系統更新程序

本周二，微軟和AMD共同發布了針對「Spectre」（幽靈）漏洞的微代碼和安全更新程序。

漏洞情況

「Spectre」（幽靈）和「Meltdown」（熔斷）漏洞對處理器（CPU）行業的影響可謂是空前的，Intel、AMD、ARM等處理器供應商以及Windows、Linux等操作系統均受到深淺不一地影響。攻擊者可以利用「Spectre」和「Meltdown」攻擊繞過內存隔離機制並訪問目標設備敏感數據。其中「Meltdown」攻擊還可能允許攻擊者讀取目標設備的全部物理內存，並竊取憑據和個人隱私信息等內容。

Meltdown可以利用預測執行（speculative execution，即一個用於執行未明指令流的區域）來打破用戶應用程序和操作系統之間最基本的隔離，如此一來，就允許任何應用程序訪問其他程序和操作系統的內存，從而讀取敏感私密的信息。該漏洞「熔斷」了由硬體來實現的安全邊界，允許低許可權用戶級別的應用程序「越界」訪問系統級的內存，從而造成數據泄露。

Spectre則是破壞了不同應用程序之間的隔離，允許用戶模式（user-mode）應用程序從運行在同一系統上的其他進程中提取信息。此外，它也可以被用來通過代碼從自己的進程中提取信息，例如，惡意JavaScript可以用來從瀏覽器的內存中為其他網站提取登錄cookie。

此外，Meltdown攻擊還觸發了CVE-2017-5754漏洞，而Specter攻擊則觸發了CVE-2017-5753（變種1）和CVE-2017-5715（變種2）漏洞。據專家介紹，只有Meltdown和Specter V1可以通過軟體來解決，而Spectre V2則需要更新受影響處理器的微代碼才能解決。

更新發布情況

據悉，Intel已經完成了對過去五年處理器產品中的Specter V1漏洞的修復工作，而針對Specter V2漏洞，Intel處理器將在未來進行硬體層面的重新設計來實現免疫，首批產品是下一代Xeon Cascade Lake和下半年即將發布的第八代酷睿新系列。

而AMD方面也於本周二發布了針對Specter V2攻擊的補丁程序，其中包括微代碼和操作系統更新。AMD公司在其發布的最新通報中指出，

今天，我們正式為微軟Windows用戶提供了關於Specter V2的補丁程序。這些緩解措施要求AMD CPU用戶既要升級來自OEM和主板廠商的微代碼更新，也需要將Windows升級至最新版本。對於Linux 用戶，AMD推薦的Specter V2緩解措施已經提供給我們的Linux合作夥伴，並已於今年早些時候發布。

微軟最初在1月份發布了針對基於AMD系統的Spectre安全補丁，但由於不穩定問題，微軟被迫暫停了補丁發放。

AMD專家在其發布的公告中表示，

雖然我們認為在AMD處理器上利用Spectre V2相當有難度，但是，為了進一步降低安全風險，我們仍然選擇積極地與合作夥伴合作，為AMD處理器提供微代碼和操作系統更新的組合。

AMD用戶可以通過下載製造商提供的BIOS更新來安裝微代碼，而Windows 10更新程序也已經在微軟四月份的「周二補丁日」正式釋放。微軟本周二發布的Windows 10更新中包括針對AMD設備的Spectre V2緩解措施。另外，AMD稱，針對Windows Server 2016的修補程序則正在進行最後的測試，預計很快就會正式向使用者推送。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！