「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
2018 一開年,全球再度陷入資訊安全危機!這次問題雖然不是病毒入侵,但受影響人數將比過去事件更為廣泛,因為這起資安事件與全球所有處理器大廠都有關係,包括「Intel 英特爾、AMD、ARM」都無法脫身,而且受害裝置遍及筆電、PC、智慧型手機、平板電腦…等 3C 產品。
據悉,國外資安研究人員發現,自 1995 年以來,處理器晶片設計有 2 個設計缺陷的漏洞,很容易招致駭客攻擊,想要解決問題只有兩個方法,一個是更換新的處理器晶片,另一個則是修改作業系統核心避開漏洞,但…修復後將導致電腦速度將大幅下降,這將讓全球所有電腦陷入兩難。
這次 Intel 漏洞有什麼影響?
英國科技網站《The Register》報導披露,知名的 Intel 處理器晶片被發現兩個設計缺陷與關鍵漏洞,這兩個漏洞被命名為「Meltdown」和「Spectre」,它讓駭客可以從應用程式竊取核心記憶體資料,包括密碼管理器、瀏覽器、電子郵件、照片和文件檔案,嚴重的是自從 1995 年以後使用 Intel 處理器的 Windows、Mac、Linux 的電腦都有可能受到影響。
只有 Intel 處理器有問題嗎?
據新聞披露,影響搭載 Intel 處理器的筆電、桌機及網路伺服器的主要漏洞是「Meltdown」,它會讓駭客竊取儲存在瀏覽器的密碼。
而另一個漏洞「Spectre」則是影響智慧手機與平板電腦,它會影響 Cortex-A 架構的 ARM 處理器,至於 AMD 雖然自稱因為架構不同,因此自己不受影響,然而發現漏洞的 Daniel Gruss 表示他曾成功利用 Spectre 攻擊 AMD 處理器,絕不能低估它的能力。此外,縱然「Spectre」沒有「Meltdown」危險,但修補難度更高。
漏洞有辦法修復嗎?
想要修復這個漏洞只有兩個方法,一個是更換成最新的處理器,另一個則是等作業系統修復。
就最新消息, Windows、Linux 系統的開發人員已經著手修復這個漏洞,但…必須繞過一些處理器架構,會導致系統效能受到影響,從輕微的降速 5% 到最嚴重的 30% 不等,平均降速將落在 17% 至 23%。
該到哪裡更新修復作業系統?
Apple macOS 10.13.2
據 AppleInsider 報導,來自 Apple 公司內部消息證實,這次發現 Intel 處理器漏洞已經透過 macOS High Sierra 10.13.2 修復更新保護核心記憶體的缺陷,減輕的漏洞的危害,未來在 macOS 10.13.3 也會有更多的修復。
至於…大家最關心的修復後效能降低問題,AppleInsider 網站也利用 2017 年 MacBook Pro 進行測試,並指稱測試結果顯示電腦執行 macOS 10.13.1 和 macOS 10.13.2 系統之間沒有明顯降速狀況。
Microsoft Windows
為了緊急解決漏洞問題,微軟針對 Windows 10 發佈緊急安全性更新「 KB4056892」修復補丁,使用者可透過 Windows Update 下載安裝更新版,升級後 Win10 OS 版本為 Build 16299.192。至於 Windows 8/8.1/7 也將提供修復補丁,讓使用者們進行修復。
另外,Windows Insider 也已經在 2017 年 12 月時已經修復漏洞。
Linux
Linux 官方已釋出 KAISER 修復補丁,要讓使用者進行更新。
Amazon Linux 則是發布最新的 Amazon Linux AMI 研究方案。
Google 針對旗下軟體整理受影響的表格,主要內容如下:
Google Chrome 瀏覽器:將於 1 月 23 日發布 Chrome 64,暫時處理方法如下
- 電腦版:更新到最新的 63 版本,使用者可在網址列輸入「chrome://flags/#enable-site-per-process」將「Full Site isolation」功能啟動。
- Android:使用「chrome://flags」啟動修復選項,但可能影響效能表現。
- iOS:使用 Apple 架構,需由 Apple 處理。
Google Chrome 操作系統(Chromebook等):已知的攻擊不會影響現有的 ARM Chrome 操作系統設備,至於舊版 Linux kernels 3.18 和 4.4 版本將發布修復補丁。
Android 系統:Google 旗下 Nexus 5X、Nexus 6P、Pixel C、Pixel / XL 和 Pixel 2 / XL 將在 2018 年 1 月 5 日推送修復補丁,其他廠牌 Android 系統手機已於 2017 年 12 月發布給 Android 合作夥伴,使用者須等其他廠牌推送更新。
Google 雲端平台產品和服務(包括 Google Cloud Dataflow、Datalab、Dataproc …等):將發布修復更新。
Google Apps / G Suite(Gmail 、雲端硬碟、相簿、Youtube、Google 廣告、Google 地圖、Blogger 和其他服務… 等):使用者不必進行任何額外動作。
Google Home/Chromecast、Google Wifi/OnHub:目前已知的攻擊不會受影響。
然而目前多數的修復都是針對 Meltdown 進行,由於「Spectre」修復的複雜度極高,所以各作業系統得開發人員都還在努力中。
延伸閱讀:
Chrome 擴充工具「Archive Poster」變駭客採礦工具,逾 10 萬使用者中招!
Facebook Messenger 成為駭客傳播挖礦綁架工具的管道之一
Wi-Fi WPA2 加密崩壞、資料外洩風暴!iOS、Android、PC 等所有裝置都暴露在 KRACK 攻擊風險中
藍牙驚爆漏洞!全球 53 億裝置中獎,只要駭客靠近就會被綁架
圖片及資料來源:The Register、Apple Insider、Microsoft Support、Google Support