隨著英特爾(Intel)處理器爆出安全漏洞後,這起風暴也燒到蘋果。蘋果坦承iPhone、iPad、Mac,全受Intel處理器漏洞影響,而各家科技大廠也紛紛說明目前各自的解決方案以及修復進度。

新年的第一周就爆出Intel處理器(CPU)底層架構存在安全漏洞,影響層面擴及個人電腦、智慧型手機、雲端服務,個人資料可能會遭到駭客攻擊,引發科技界一陣軒然大波。

 

蘋果因為使用Intel處理器,本周也坦承受到處理器漏洞影響,並隨即提供軟體更新,並保證裝置效能不受到影響,此外多家科技公司也紛紛出面回應這次的事件。

蘋果坦承iPhone、iPad、Mac全中標

Alphabet旗下的Google Project Zero團隊,一份研究報告揭露幾乎所有使用Intel、AMD、ARM處理器晶片的裝置,都暴露在安全漏洞下。

報告中提到被命名為「Meltdown」跟「Spectre」的兩個漏洞,「Meltdown」的設計缺陷僅存在Intel晶片,駭客可能會藉此竊取電腦記憶體內的私密資料,包括瀏覽器上的密碼、帳號登入資訊、照片、e-mail、個人訊息,甚至是商業文件;而「Spectre」的設計缺陷則影響使用Intel、AMD、ARM處理器的智慧手機、平板電腦、筆記型電腦、桌上型電腦、網路伺服器,駭客有可能會利用這些漏洞侵入應用程式內的重要資訊。

唯獨Apple Watch不受Meltdown漏洞影響

除了Apple Watch以外,其他產品都因為使用Intel、ARM架構處理器受到影響,「所有的Mac跟iOS裝置都受到影響,但目前所知沒有任何用戶傳出災情。」蘋果試圖在官方部落格中平息用戶的擔憂與恐懼。在蘋果手機、桌機、Apple TV,目前運行最新的iOS 11.2、 macOS 10.13.2、tvOS 11.2軟體,都已經全面包含針對Meltdown漏洞的修復,蘋果目前已經釋出所有的更新版本,用戶只要更新最新軟體,就能確保裝置安全。

這起事件爆發後,有些研究人員指出修復軟體可能導致裝置效能下降30%,蘋果表示,目前解決Meltdown漏洞的方法完全不會有效能降低的問題,請大家放心。

蘋果表示,所有的Mac跟iOS裝置都受此次風波影響,但目前所知沒有任何用戶傳出災情。
shutterstock

修復將造成Safari瀏覽器效能降低

至於另一項漏洞Spectre,Apple Watch和蘋果的其他產品一樣容易受到影響。由於Spectre的特性是侵入應用程式,蘋果於聲明中表示:「所有Mac系統跟iOS裝置需要載入惡意App 才會受到影響,我們強烈建議大家到App Store這類安全的來源下載軟體。」

惡意代碼最有可能經由瀏覽器入侵,針對Spectre漏洞,蘋果將在未來幾天針對Safari瀏覽器釋出補丁,幫助用戶對抗Spectre,但同時也補充,這項修復有可會導致瀏覽器運作速度減緩大約2.5%。

受影響的科技公司怎麼說?

這次Intel處理器的安全漏洞影響持續擴大,研究人員推測近10年搭載 Intel 處理器的裝置,無論是Windows系統、Linux、MacOS、Android、Chrome OS 幾乎都無可避免捲入這次的風波,幾乎可以說是這10年來所生產的電腦、筆電、手機都暴露在風險之下,對此各家科技大廠也紛紛提出自己的回應,以及目前解決的進度。

Intel

Intel透過最新聲明表示,預計在下周會針對過去五年生產的大部分處理器釋出軟體更新,預計可以修復大約90%的裝置,並希望所有用戶都能打開系統,讓軟體執行自動更新,確保所有裝置的安全。

這次事件剛爆發時,外界盛傳Intel提供的軟體更新可能導致系統性能下降30%,在第二次的公開聲明中,Intel仍持昨日發布回應聲明中的論點,強調電腦效能是跟工作負載強度有關,就算效能降低,情況也會隨時間而減緩,且一般用戶更新後並不會有很明顯的效能降低問題,認為影響並不大。

根據Google先前的研究報告,過去10年Intel的處理器都可能受到影響,二次聲明中Intel僅提到針對過去五年的處理器裝置進行修復,對於五年以前的Intel處理器並沒有多做說明。

Intel預計在下周會針對過去五年生產的大部分處理器釋出軟體更新,預計可以修復大約90%的裝置。
shutterstock

Google

Google針對Android、Chrome、Chrome OS用戶做出最新說明,基本上Google都會針對大部分Chrome and Chrome OS 用戶提供自動軟體更新。

智慧型手機Nexus跟Pixel 用戶,手機系統也會自動下載更新軟體,至於其他Android品牌手機就要視各家手機廠商的修復進度而定,而目前使用ARM架構的Android 設備沒有傳出類似災情。另外,許多網路安全社群也指出,Google將會針對JavaScript引擎新增對抗Spectre 的更新,預計在一月底釋出的Chrome 64版本可以取得,更新後就能保護網頁對筆電或手機的攻擊。

微軟

目前,Windows 用戶已經可以下載Windows 10更新版本,目前已可藉由Windows Update下載編號為KB4056892的檔案,主要修復Meltdown所造成的威脅,其他版本預計在下周陸續更新。

至於雲端服務Azure 用戶,會透過自動更新獲得保護,但微軟提醒,部分用戶需要重啟虛擬機器才能讓修復程式作用,且強調不會有任何效能上的影響。

亞馬遜

亞馬遜表示,旗下雲端服務AWS中的彈性雲端運算EC2已經修復大部分的漏洞,剩餘的部分會在未來幾個小時陸續修復完成,亞馬遜提醒,用戶必須自行操作系統才能讓系統擁有最新補丁。

AMD

事件剛爆發時,AMD認為由於處理器的架構不同,加上新的作業系統將推出,自家產品暴露在安全風險下的機率幾乎是零,「這起事件以看出整個產業一起緊密合作的程度。」AMD表示。

AMD認為由於處理器的架構不同,加上新的作業系統將推出,自家產品暴露在安全風險下的機率幾乎是零。
shutterstock

但隨後Intel公布的聲明中卻拖AMD下水,直接點名 AMD 與 ARM 處理器都有發生安全性漏洞,並在聲明中稱目前正在跟AMD、ARM 、OS 開發商合作解決問題,AMD則在聲明中強調:「最近研究團隊確認了三種安全漏洞的變種,這些漏洞對各個晶片公司有不同的威脅程度,但AMD 處理器因架構不同並未受到任何影響,風險幾乎是零。」

此外AMD也建議用戶不要隨便點擊來路不明的連結、使用高強度的密碼、下載正規的軟體等。

ARM

ARM的Cortex系列處理器未能逃過一劫,廣泛用於手機行動處理器的「Cortex A」架構,有一部分受到Meltdown影響,目前旗下產品的漏洞有三個與Meltdown有關、兩個與Spectre有關。

ARM強調,未來所有的ARM Cortex處理器,都將能透過內核補丁進行修復,來抵擋類似的攻擊。

Reference: https://www.bnext.com.tw/article/47691/apple-on-intel-chip-bugs-meltdown-and-spectre?utm_source=dailyedm_bn&utm_medium=content&utm_campaign=dailyedm

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 BENEVO 的頭像
    BENEVO

    BENEVO台灣部落格 之 科技應用。創新與分享

    BENEVO 發表在 痞客邦 留言(0) 人氣()