Google：CPU漏洞影响不只英特尔，还有AMD与ARM

Google于本周三（1/3）指出，现今大多数的中央处理器（CPU）都受到“推测执行”（speculative execution）漏洞的影响，允许骇客读取系统内存，从密码、加密金钥或是程式中的机密资讯，波及了英特尔（Intel）、AMD与ARM的处理器产品，原本业界计划要在1月9日共同揭露，但因媒体及安全社群已开始报导及猜测，增加了漏洞被开采的风险，使得Google决定提前公布。

“推测执行”为一处理器最佳化技术，让具备额外资源的电脑系统事先执行一些任务，在需要时就能使用以改善效能并预防延迟，被应用在现代大多数的CPU中。

然而，Google的Project Zero团队去年便发现“推测执行”中隐含有一重大安全漏洞，不当的推测执行可滥用CPU资料快取的时间安排而造成资料外泄，在最糟糕的情况下可跨越本地端的安全界线而衍生出至少3种可任意读取虚拟内存的变种漏洞。

Google说明，为了改善效能，许多CPU都会基于可能是真的假设来执行推测指令，并在推测执行中验证这些假设，若是有效的便继续执行，无效时即会松开执行，并因应真实的情况启动正确的执行路径；不过，“推测执行”在CPU处于松开状态时可能会出现一些无法复原的副作用，进而导致资料外泄。

相关漏洞同时影响了英特尔、AMD与ARM的处理器，也影响采用这些处理器的装置与操作系统。Google已于去年6月1日将漏洞资讯提交给上述处理器业者。

若要开采“推测执行”漏洞必须先于目标系统上执行恶意程式，此外，并无任何单一修补程式可一次解决已知的3种变种漏洞，得分别修补以提供保护，现阶段已有许多业者防堵了其中1个或多个攻击途径。