CPU推测执行瑕疵再添两个新变种漏洞

Google的Project Zero团队在今年1月对外公开了存在于CPU上的推测执行瑕疵，当时研究人员指出该瑕疵衍生出CVE-2017-5753、CVE-2017-5715与CVE-2017-5754等3个变种漏洞，但Arm、Google与微软又再度发现相关的CVE-2018-3640及CVE-2018-3639两个新变种漏洞，包含英特尔与微软等业者亦统一于本周一（5/21）发表声明或释出修补。

在推测执行瑕疵刚公布时，研究人员打造了两款概念性验证攻击程式，一是同时开采CVE-2017-5753与CVE-2017-5715的Spectre，二是只开采CVE-2017-5754的Meltdown。其中，Spectre可强迫CPU揭露它的数据，Meltdown则能用来消融硬件所建立的安全疆界，将允许程式存取装置上的内存内容，波及桌机、笔电与云端电脑。上述漏洞又被称为变种1（CVE-2017-5753）、变种2（CVE-2017-5715）与变种3（CVE-2017-5754）。

新发现的CVE-2018-3640漏洞因与变种3有关而被命名为变种3a，它允许握有本地端权限的骇客利用旁路分析推测性地读取系统参数，并取得机密资料。

另一个衍生漏洞CVE-2018-3639则是变种4，属于推测绕过漏洞，将让骇客存取CPU中较旧的内存值或其它内存区域，可用来读取任意权限的资料，或是在推测性地执行较旧的命令时造成快取配置，再以标准的旁路方法汲取资料。

包括英特尔、AMD、微软或红帽等业者都统一于本周一发表了修补程式或声明。其中，英特尔已释出测试版的微码更新予OEM系统制造商与系统软件制造商，BIOS及软件更新可望于未来几周出炉。

英特尔的微码更新同时修补了变种3a与变种4漏洞，其中，针对变种3a的缓解并不会对效能造成明显影响，但锁定变种4的缓解则可能对客户端或服务器系统产生2%~8%的效能波动，因此，缓解变种4的预设值是关闭的，可由客户自行选择是否启用。

AMD则说，迄今尚未发现AMD的x86产品受到变种3a的影响，对于变种4则建议用户部署微软或Linux版本的缓解更新，且变种4其实并不容易开采。

ARM表示，针对此一瑕庛的快取推测旁路攻击必须在本地装置上安装恶意程式，只要遵循安全政策就能避免遭到攻击，只有少数ARM处理器受到上述变种漏洞的影响，遭到变种3a波及的为Cortex-A15、Cortex-A57与Cortex-A72，而变种4则影响Cortex-A57、Cortex-A72、Cortex-A73与Cortex-A75。

由于一般认为变种3a并无必要借由软件来缓解，因此微软在本周一只针对变种4发表声明，并表示一旦在微软产品或云端服务架构中发现可能惹来攻击的脆弱程式就会展开修补，惟目前尚无所获。

红帽则说，要借由更新Linux核心来缓解变种4漏洞可能带来新的安全危机，应与Linux核心社群建立最佳实作共识，也会适时释出红帽产品的缓解更新。