苹果：CPU漏洞影响iPhone、Mac等所有苹果平台，将陆续祭出修补

Google Project Zero团队本周三（1/3）公布了中央处理器（CPU）的“推测执行”（speculative execution）含有安全瑕疵，影响各大品牌的CPU产品，并衍生出CVE-2017-5753、CVE-2017-5715及CVE-2017-5754等3个安全漏洞，现已存在6种概念性验证攻击，苹果则在周四（1/4）表示，所有的Mac系统与iOS装置都受到影响，将陆续释出更新。

在6种概念性验证攻击中最常被引用的是由10名资安研究人员共同发展的Meltdown与Spectre，其中，Meltdown开采的是CVE-2017-5754漏洞，Spectre则同时开采CVE-2017-5753与CVE-2017-5715漏洞，皆允许恶意程式窃取存于内存中的资料，有鉴于其中的Meltdown攻击相对容易执行，而成为各大业者的优先防范对象。

由于Google早在去年就向业者通报了相关漏洞，因此苹果已在去年12月底借由释出iOS 11.2、macOS 10.13.2与tvOS 11.2缓解了Meltdown攻击，而watchOS则未受Meltdown波及。

苹果强调，新版macOS与iOS不管是在效能或浏览器的标竿测试上，都未出现效能下滑的现象。

至于Spectre攻击，就算是已于装置上安装了恶意程式都不容易执行，但有机会开采于浏览器中运作的JavaScript，因此苹果将在这几天优先释出支援macOS与iOS的Safari更新程式，不过新版Safari的JetStream标竿测试效能稍微降低了2.5%。

未来苹果也会陆续更新iOS、macOS、tvOS与watchOS以降低Spectre攻击对这些平台可能带来的冲击。