甲骨文修补产品中Meltdown、Spectre漏洞

两周来众软、硬件及云端业者修补上周爆发的Meltdown和Spectre漏洞，甲骨文一直保持沉默，不过周二甲骨文终于释出重大更新来修补，包括出现Spectre漏洞的x86服务器。
 
本周释出的2018年1月重大更新包含237项修补程式，以修补甲骨文产品中包括Meltdown及Spectre在内的漏洞。受影响产品包括甲骨文应用、中介软件、数据库及硬件，包括Solaris、Oracle供应链应用、Financial Service、Fusion Middleware、虚拟化产品Oracle VM VirtualBox、零售业应用、PeopleSoft、Siebel、JD Edwards、Hyperion、数据库软件、Java SE 、Java SE、MySQL，以及Oracle X86服务器BIOS、Sun ZFS 储存装置套件等。
 
值得注意的是，本次更新修补了Oracle x86服务器BIOS中的CVE-2017-5715漏洞，为Spectre中的“分支目标注入”（Branch Target Injection）。Oracle OS及Oracle VM的CVE-2017-5715修补程式已包含更新版英特尔处理器微码。而只有执行非Oracle OS和VM软件的Oracle x86服务器才需要安装固件层修补程式以取得新版微码。
 
甲骨文表示，释出修补程式后，仍持续接到漏洞遭恶意开采的用户通报，有些甚至因为客户未安装修补程式而被骇客成功入侵。因此该公司强烈建议用户应立即安装修补程式。
 
The Register则报导，甲骨文只对客户公开的文件中谈到Sparc v9芯片架构上某些版本Oracle Solaris操作系统也受到Spectre影响。
 
文件指出该公司正在制作修补程式，等完成后将提供给购买付费支援服务的客户，但未说明明确时程。甲骨文指出会研究修补程式对效能的影响，建议客户不要安装不受信赖的程式，同时限缩有权限安装及执行程式码的使用者人数，检查log是否有不正常的活动行为。
 
甲骨文则表示，Solaris on Sparc v9 不受Meltdown影响。