1月4日，國(guó)外安全研究者披露的Meltdown消融/崩垮（CVE-2017-5754）及Spectre幽靈（CVE-2017-5753 & CVE-2017-5715）兩組CPU漏洞引發(fā)了全球安全恐慌。這場(chǎng)由英特爾CPU漏洞衍生出的安全問題，波及了全球所有桌面系統(tǒng)、電腦、智能手機(jī)及云計(jì)算服務(wù)器。

對(duì)此，360安全中心緊急展開了漏洞響應(yīng)，并發(fā)布了預(yù)警通告及詳細(xì)解讀。360核心安全事業(yè)部總經(jīng)理、Vulcan團(tuán)隊(duì)負(fù)責(zé)人鄭文彬提醒廣大網(wǎng)民，無需過分恐慌，只要保證良好的上網(wǎng)習(xí)慣，為操作系統(tǒng)、虛擬化軟件、瀏覽器等及時(shí)更新補(bǔ)丁，同時(shí)，安裝及開啟安全軟件，就能在第一時(shí)間防御利用這些漏洞的攻擊程序。

 

全球網(wǎng)民無一幸免！漏洞本身卻并不可怕

現(xiàn)代處理器（CPU）的運(yùn)作機(jī)制中存在兩個(gè)用于加速執(zhí)行的特性，推測(cè)執(zhí)行（Speculative Execution）和間接分支預(yù)測(cè)（Indirect Branch Prediction)。這兩組CPU漏洞的利用依靠推測(cè)執(zhí)行特性，通過用戶層面應(yīng)用從CPU 內(nèi)存中讀取核心數(shù)據(jù)。推測(cè)執(zhí)行技術(shù)從1995年開始應(yīng)用，所以近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器幾乎都受到影響；

l   Meltdown的具體影響范圍：

Intel CPU用戶：幾乎所有（1995年之后的所有的CPU型號(hào)，除了2013年之前的Intel 安騰和Atom外）

AMD CPU用戶：根據(jù)AMD公司的聲明，目前AMD CPU不受Meltdown漏洞影響

ARM CPU用戶：根據(jù)ARM公司的聲明，包括Cortex-A75在內(nèi)的少數(shù)ARM核心CPU受影響

l   Spectre的具體影響范圍：

Intel CPU用戶：幾乎所有

AMD CPU用戶：幾乎所有

ARM CPU用戶：根據(jù)ARM公司的聲明，包括Cortex-A8， Cortex-A9等在內(nèi)的約十種ARM核心CPU受影響，其他類型的ARM CPU不受影響

雖然影響范圍極廣，但漏洞本身的危害卻并不十分嚴(yán)重，前也沒有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現(xiàn)。攻擊者雖可利用該漏洞竊取隱私，但無法控制電腦、提升權(quán)限或者突破虛擬化系統(tǒng)的隔離。此外，該漏洞不能被遠(yuǎn)程利用，更無法像“永恒之藍(lán)”漏洞一樣，在用戶沒有任何交互操作時(shí)就實(shí)現(xiàn)攻擊。

鄭文彬表示，漏洞利用的前提需要攻擊者已經(jīng)在用戶系統(tǒng)及云計(jì)算客戶系統(tǒng)上運(yùn)行惡意程序，這一點(diǎn)完全可以通過良好上網(wǎng)習(xí)慣及安全軟件的防御避免，更能夠杜絕CPU漏洞與其他漏洞相結(jié)合實(shí)施的進(jìn)一步危害。

徹底修復(fù)難度高！解決CPU漏洞需要廠商聯(lián)動(dòng)

“這兩組漏洞影響力之所以這么大，一方面是因?yàn)槭苡绊懛秶鷱V泛，另一方面則是因?yàn)樾迯?fù)難度大?！编嵨谋虮硎荆┒床懊嫣貏e廣，幾乎所有的主流智能終端，電腦、筆記本、Pad、手機(jī)、IOT設(shè)備的CPU都受到影響。

除了影響全球網(wǎng)民，CPU漏洞的影響力也來自于其漏洞修復(fù)的高難度。盡管是CPU硬件的漏洞， 但是僅通過CPU廠商進(jìn)行安全更新（例如升級(jí)CPU微碼）是無法解決這一問題，修復(fù)這些漏洞需要操作系統(tǒng)廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、CPU廠商一起協(xié)作并進(jìn)行復(fù)雜且極其深入的修改，才能徹底解決問題，對(duì)于這些影響如此廣泛的漏洞來說要完美做到修復(fù)更是困難。

目前，各大廠商對(duì)該漏洞事件反應(yīng)及時(shí)，相關(guān)平臺(tái)、軟件提供商都在積極應(yīng)對(duì)該漏洞，部分廠商已經(jīng)提供了解決方案。Intel建議關(guān)注后續(xù)的芯片組更新、主板BIOS更新；針對(duì)Meltdown漏洞，Linux已經(jīng)發(fā)布了KAISER；macOS從10.13.2予以了修復(fù)；谷歌稱已經(jīng)修復(fù)；Win10 Insider去年底修復(fù)；Win10秋季創(chuàng)意者更新今晨發(fā)布了KB4056892，將強(qiáng)制自動(dòng)安裝；亞馬遜隨后也公布了指導(dǎo)方案；對(duì)于難度更高的Spectre漏洞，各廠商目前也仍在攻堅(jiān)中。

補(bǔ)丁致性能損耗不可盡信！打補(bǔ)丁仍是防護(hù)首要一步

目前，雖然部分軟件及系統(tǒng)已有補(bǔ)丁，但由于網(wǎng)上流傳著“補(bǔ)丁將導(dǎo)致CPU性能損耗30%”的說法，不少網(wǎng)民深表擔(dān)憂。

對(duì)此，鄭文彬表示，這種說法比較片面，30%的性能損失是在比較極端的專門測(cè)試情況下出現(xiàn)的，通常的用戶使用情況下，尤其在用戶的電腦硬件較新的情況下（例如絕大部分在售的Mac電腦和筆記本），這些補(bǔ)丁的性能損失對(duì)用戶來說是幾乎可以忽略不計(jì)

此外，目前的補(bǔ)丁還只是第一步的動(dòng)作，接下來包括微軟、Intel在內(nèi)的廠商還會(huì)進(jìn)一步推出針對(duì)性的補(bǔ)丁，進(jìn)一步降低補(bǔ)丁對(duì)性能的損耗。同時(shí)，對(duì)于廣大使用32位X86操作系統(tǒng)的用戶，目前的補(bǔ)丁對(duì)性能的損失幾乎可以忽略不計(jì)。

因此，打補(bǔ)丁仍是防護(hù)CPU漏洞攻擊最重要一步。目前，網(wǎng)民可以通過以下安全策略進(jìn)行防護(hù)：

• 升級(jí)最新的操作系統(tǒng)和虛擬化軟件補(bǔ)?。耗壳拔④?、Linux、MacOSX、XEN等都推出了對(duì)應(yīng)的系統(tǒng)補(bǔ)丁，升級(jí)后可以阻止這些漏洞被利用；

• 升級(jí)最新的瀏覽器補(bǔ)?。耗壳拔④汭E、Edge和Firefox都推出了瀏覽器補(bǔ)丁，升級(jí)后可以阻止這些漏洞被利用；

• 等待或要求你的云服務(wù)商及時(shí)更新虛擬化系統(tǒng)補(bǔ)丁；

• 安裝安全軟件：360安全衛(wèi)士會(huì)在第一時(shí)間發(fā)現(xiàn)可能的利用這些漏洞的攻擊程序并進(jìn)行殺除及防護(hù)。此外，360安全團(tuán)隊(duì)還會(huì)對(duì)該漏洞保持研究，并實(shí)時(shí)為網(wǎng)民更新推送完整的解決方案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。