Intel CPU 爆發嚴重 Meltdown 漏洞　Intel 辯稱其他品牌都有風險

Intel CPU 又爆出嚴重安全漏洞！繼去年 11 月的 ME（Management Engine）漏洞後，今次就爆出有關 Kernel（內核）的漏洞，讓電腦程式可以任意讀取到 Kernel Memory（內核記憶體）的內容，影響範圍極廣。據知，這個被稱為「Meltdown （爐心熔毀）」漏洞已存在於 Intel x86 CPU 近十年之久，除非閣下使用的裝置為十多年前的產物，而且還在運作中，否則都應該留意著 OS 作業系統的修復更新。然而修復漏洞可能會導致效能降低 5 – 30%，究竟今次漏洞是所謂何事？

Kernel Memory 漏洞的影響

其實電腦程式有很多動作，例如寫入檔案或啟動網絡連線等，在應用程式層面都無權執行，必需把工作交由 Kernel （內核）去處理，這個召喚 Kernel 的過程稱為 System Call 。因此 Kernel Memory 載有各式各樣的內容，包括一些個人密碼、登入金鑰或硬碟檔案快取等敏感資訊。而為了加快執行速度，Kernel Memory 會常存於 CPU Cache 中，不過在正常情況下，電腦程式是看不到 Kernel Memory 的實質內容。然而今次 Intel x86 CPU 的 Meltdown 漏洞就發現原來電腦程式，在某程度上是可以「看到」這些受保護的 Kernel Memory 內容或佈局，所以駭客可以利用漏洞，用惡意程式來讀取 Kernel Memory 的敏感內容。這個問題在一些租用的雲端服務會顯得更糟糕，像是 Google Compute Engine、Amazon EC2、Microsoft Azure 等，不同的客戶會租用同一個雲端 Server ，當駭客入侵到 Server 或其中一個客戶的 Virtual Machine（VM）時，就可利用漏洞讀取其他客戶的敏感內容。

OS 的 KPTI 修正會降低效能

所以各 OS 現正在加緊修補 Meltdown 漏洞，用一個名為「Kernel Page-table Isolation」（內核頁表隔離，簡稱 KPTI）的方法，將 Kernel 搬去另一個完全獨立的位址空間，讓應用程式完全看不到當中的內容。不過副作用就是，每次應用程式 System Call 都會迫使 CPU 轉去 Kernel 的獨立位址空間，這個轉換過程自然拖慢電腦運作，因此有些研究預計電腦效能會降低 5 – 30% ，視乎執行工作所需的 System Call 密度與 CPU 型號而有所不同。

要解決是次 Intel CPU 漏洞，目前只可更新 OS 或購買沒有漏洞的 CPU 。 Linux 已推出修補更新， Windows 可能會在下星期二（1 月 9 日）左右推出更新，而據 Kernel 專家 Alex Ionescu 的 Twitter 帖子，版本 10.13.2 的 macOS 已經修復好漏洞。不過由於 Intel 及各 OS 都沒有公布詳細的問題情況，所以哪個版本的更新可修補漏洞，建議大家還是等官方的消息確認。

Intel 回應：不要針對我，其他品牌亦有問題

那麼罪魁禍首的 Intel 怎樣回應這個嚴重漏洞？大家可按此連結細閱 Intel 的新聞稿，大概意思就是作出辯護，說駭客不能利用這個漏洞來破壞、修改或刪除電腦數據。而且 Intel 亦感到無辜，表示不單止 Intel，其實許多 OS 及其他品牌的 CPU 都容易遭受這個漏洞影響。 Intel 會與 AMD 、 ARM 及數個 OS 公司，合作制訂方法來解決問題，並已開始提供軟件及韌體更新來減低禍害，一般用家在更新後亦不會感到明顯的效能降低。最後 Intel 強調其產品是全球最安全的。而 ARM 則 向外媒承認 Cortex-A 處理器架構受漏洞影響， AMD 則向外媒表示他們的產品幾乎零風險。其實誰家是最安全，誰家是最危險，可能要待更多研究才知道，不過事件發生後， Intel 在 NASDAQ 的股價下跌 3.39%，而 AMD 股價就升了 5.19% ，看來市場已對事件作出審判。

[row][double_paragraph]

[/double_paragraph][double_paragraph]

[/double_paragraph] [/row]

Source：The Register、Videocardz、Intel