【云计算】英特尔芯片设计出漏洞云端与数据中心料将成重灾区

英特尔(Intel)传出处理器芯片设计出现重大漏洞,被称为「Meltdown」、「Spectre」的漏洞可让恶意程序透过臆测执行(speculative execution)的架构缺陷,直接窥探系统内核存储器内容,甚至窃取机密数据,包含Windows、Linux、MacOS,FreeBSD、甚至行动操作系统如Android、Chrome OS,都将无一幸免。


自1995年以来的英特尔x86处理器几乎都遭殃

目前已知英特尔在2013年推出的Intel Itanium与Atom两款处理器不受影响外,其自1995年以来所生产的x86处理器皆可能因2项漏洞而遭遇严重的资安风险。


据Google的说明网站资料,运用Meltdown漏洞的恶意程序可打破计算机程序无法访视系统内核存储器内容的机制,即使便浏览器执行的Javascript都可窥探系统内核存储器的内容,包含私人口令、登入金钥、快取内容,都有可能遭受有心人士窃取。至于Spectre漏洞更为棘手,其可欺骗计算机程序来浏览内核存储器,借以窃取敏感信息。目前已有针对Meltdown漏洞的更新,但研究人员表示Spectre更难予以修补。


由于两项漏洞皆属于跨频道攻击(side channels),可透过完全隔离内核与处理程序的存储器位置来修正错误,称为KPTI(Kernel Page Table Isolation),但此一修补将造成处理器降速,影响整体效能。


云端服务与数据中心难逃资安与效能耗损双重危机

由于这次的漏洞风险波及桌上与行动终端装置,连云端服务或是数据中心业者都无法幸免于难。研究人员指出,使用英特尔CPU与Xen PV的云端或数据中心基础设施,以及未使用硬件虚拟化而倚赖共享内核的容器(containers),如Docker,LXC或OpenVZ,也将受到影响。因为Google测试发现,当一台VM遭受攻击后,可获取权限浏览主机的实体内核存储器,进而再获得同一主机上不同VM的内核存储器的读取浏览权限。


如此一来云端或是数据中心业者得先遭受客户信息遭到窃取的威胁,二来即使安装更新,处理效能也将受到处理器降速的影响而大打折扣,其中英特尔x86处理器在数据中心的市占率高达90%,可说是重灾区。


据CNBC报导,几家云端服务业者已针对英特尔处理器漏洞做出相关因应措施。Google表示已透过VM Live Migration技术实时更新,未有客户受到影响,不须提供对应维修窗口,相关主机服务也不须重启,但建议Google Cloud用户持续进行系统更新。但对Google而言,其最棘手的是数以亿计的Android装置。


Geek Wire则引述亚马逊(Amazon) AWS说法,除了极少数的EC2服务外,其余的云端服务项目都已获得保护,上述的EC2服务也会在不久后获得更新防护。AWS同样也建议客户保持系统更新。


微软(Microsoft)则表示,其已更新大部分Azure基础架构,某些则仍在更新中,并且须重启客户的VM方能使更新生效。多数客户将在最近几周内收到Azure维修计划的通知,但并不需要采取进一步动作。微软表示,漏洞信息公布后,其正加速维修进度,并从太平洋时间2018年1月3日下午3点30分重启其余受影响的VM。


Linux版本发行商Red Hat则向CNBC表示,该公司是以安全优于性能的积极态度来因应,并允许用户评估自己的使用环境,弹性选择启用或禁止各种缓冲措施做出适当的折衷作法,该公司也将在未来几天后持续发布更新。


关注DIGITIMES,产业资讯一手掌握

如有事情需要联系我们,请发送邮件到:lianxi@wmqn.net