弱點通告:Intel 發布安全更新,建議請管理者儘速評估更新!
2018/01/09
風險等級: 高度威脅
摘  要:

Intel 發布了安全更新,已修補Meltdown、Spectre 漏洞。

目前已知會受到影響的產品請參考 Intel ,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統: Intel 表示共有44款CPU產品受影響,涵蓋桌上型PC(Core i3、i5、i7系列)、筆電(Intel Core各代)、伺服器(含E3、E5、E7、Xeon Processor Scalable)、嵌入式電腦( Celeron J、Celeron N)等主要處理器。
解決辦法: Intel 將先針對近5年內的CPU系列產品釋出更新,預計下周末前,逾9成的CPU產品都能獲得更新修補。另外還有些則是針對軟體的安全進行強化,個別釋出軟體更新,請參考iThome整理資料
細節描述:

Intel經發布了安全更新,已修補Meltdown、Spectre漏洞。

Google Project Zero近來揭發CPU的「推測執行」(speculative execution)安全漏洞, 後來經過研究人員歸納出能將此漏洞用來開採的兩大攻擊手法,分別是Meltdown與Spectre, 後來針對這兩個攻擊手法,更發出3個變種漏洞的CVE通報。編號為 CVE-2017-5754 漏洞是透過Meltdown的攻擊手法,能讓駭客以系統權限存取應用程式與OS所用到的底層記憶體。 CVE-2017-5753 與 CVE-2017-5715這兩個漏洞則用在Spectre攻擊手法上, 讓駭客能竊取系統記憶體內存放的機敏資料。Meltdown與Spectre都是利用推測執行造成的處理器設計弱點所發動的攻擊方式, 對於全球有用到問題CPU的桌機、筆電、伺服器、工業電腦甚至是智慧手機都受到衝擊。

Intel表示,透過安全更新,將使所有使用該公司產品的電腦系統, 包括個人電腦及伺服器免於Meltdown及Spectre的攻擊。到目前為止, 已經對過去5年間所推出的大部份處理器產品釋出更新,預計到這周末之前, 過去5年以來超過90%的處理器產品都將會獲得更新。Intel也在合作夥伴協助下部署軟體修補程式及韌體更新。

HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

參考資訊:

iThome(2)(2018/01/05)
iThome(1)(2018/01/05)
Intel(2018/01/05)