ios-11-icon 

安全性研究人員最近揭露了兩個安全漏洞,分別命名為 Meltdown 和 Spectre。現代處理器全都存在這些問題,幾乎所有運算裝置與作業系統也同樣受到波及。所有 Mac 系統與 iOS 裝置都受到影響,但就目前所知,尚無客戶因這些安全漏洞而遭受攻擊。駭客如要利用這些安全問題進行攻擊,必須在您的 Mac 或 iOS 裝置上載入惡意 app 方能做到,因此,我們建議您只從可信賴的來源下載軟體,例如 App Store。Apple 已隨 iOS 11.2、macOS 10.13.2、tvOS 11.2 釋出因應措施,以協助防禦 Meltdown。Apple Watch 不會受到 Meltdown 或 Spectre 的影響。未來幾天內,我們預計在 Safari 中釋出因應措施,防範 Spectre 造成任何影響。我們會針對這些問題,持續開發並測試更進一步的因應措施,這些因應措施也會隨著即將推出的 iOS、macOS 和 tvOS 更新釋出。

背景說明

Meltdown 和 Spectre 安全漏洞主要是利用現代 CPU 中名為推測執行的效能技術。推測執行可透過同時執行多項指令來提升運算速度,不過執行的順序不一定與指令輸入 CPU 時的順序相同。為了提升效能,CPU 會在目前分支完成之前,預測哪個分支路徑最有可能被採用,並根據其推測繼續執行該分支指令。如果預測錯誤,這個推測的執行就會以軟體無法察覺的方式倒回。

Meltdown 和 Spectre 漏洞攻擊手法會以不當方式利用推測執行功能,從權限較低的使用者程序(例如裝置上執行的惡意 app)來存取具有特殊權限的記憶體(包括系統核心)。

Meltdown

Meltdown 是編號 CVE-2017-5754,或稱「惡意資料快取載入」(rogue data cache load)這項漏洞攻擊手法的名稱。這種攻擊手法會導致使用者程序得以讀取核心記憶體。根據我們的分析結果,駭客利用此漏洞進行攻擊的可能性最高。Apple 已在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 中針對 Meltdown 釋出因應措施;watchOS 不需要採取任何因應措施。我們以公開基準進行測試後發現,無論是根據 GeekBench 4 效能基準,或是常見的網頁瀏覽效能基準如 Speedometer、JetStream 和 ARES-6 的測試結果,macOS 與 iOS 在安裝 2017 年 12 月推出的更新之後,皆並未測得效能降低的情況。

Spectre

Spectre 這個名稱涵蓋兩種不同的漏洞攻擊手法,分別是編號 CVE-2017-5753 的「繞過邊界檢查」(bounds check bypass),以及編號 CVE-2017-5715 的「分支目標注入」(branch target injection)。這些攻擊手法利用 CPU 檢查記憶體存取指令的有效性時所發生的時間延遲,讓使用者程序得以存取核心記憶體中的項目。

分析結果顯示,雖然利用這些漏洞進行攻擊的難度極高,即便是透過在 Mac 或 iOS 裝置本機上執行的 app 也難以做到,但駭客可在網頁瀏覽器中利用 JavaScript 進行攻擊。Apple 將在未來幾天內釋出 macOS 與 iOS 版 Safari 的更新,以因應這些漏洞攻擊造成的影響。我們最新的測試結果指出,即將發佈的 Safari 因應措施在 Speedometer 和 ARES-6 測試中並未測得任何影響,而 JetStream 效能基準則顯示效能降低不到 2.5%。我們會針對 Spectre 漏洞持續在作業系統內開發及測試更進一步的因應措施,這些因應措施也會隨著即將推出的 iOS、macOS 和 tvOS 更新釋出。watchOS 不會受到 Spectre 的影響。

 

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

 

 

 

想更快追蹤到更多的更新請加入傻瓜狐狸的粉絲團

想跟好跟滿我的所有更新可以試著跟著這篇教學走

[教學] 手把手教學 ! 用 Line 追蹤你愛的粉絲團與網站,絕對不再錯過任何一則更新 

如果您使用的是Google+可以把我加入好友圈^^

原文發表於傻瓜狐狸的雜碎物品


創作者介紹
創作者 傻瓜狐狸 的頭像
傻瓜狐狸

傻瓜狐狸的雜碎物品

傻瓜狐狸 發表在 痞客邦 留言(0) 人氣()