ADVERTISEMENT
Meltdown是最近爆發的重大資安瑕疵,能讓攻擊者利用僅具有使用者模式權限的程式指令,取得位於核心模式底下的記憶體資料,並從而獲得更高的控制權限,可能讓攻擊者竊取儲存於電腦中的各網站帳號密碼,甚至是信用卡資料,使用者應該立刻安裝作業系統與瀏覽器更新檔,以避免災害擴大。
更新作業系統即可
Google的Project Zero資安團隊於去年就發現了存在於許多當代處理器中預測執行(Speculative execution)中的漏洞,在多個獨立的研究中,該漏洞分別被稱為第1、第2類變種的Spectre,以及第3類變種的Meltdown。這些漏洞能讓攻擊者存取原本無法接觸到的資料,進而會造成敏感資料外洩等風險,更詳細的介紹可以參考電腦王先前的說明文章。
雖然這個漏洞無法透過更新微碼修正,但可以藉由作業系統的更新檔,以軟體方式修正,所以為了避免成為攻擊的目標,最好的方式就是在第一時間安裝對應的更新檔。
ADVERTISEMENT
對Windows 10的使用者而言,需要安裝KB4056892更新檔,至於Windows 8與Windows 7則需分別搭配KB4056898與KB4056897等更新檔,各版本系統也都可以透過Windows Update自動安裝更新檔。雖然說先前曾傳出修正漏洞將造成大幅效能折損,但根據我們的實際測試,更新後幾乎沒有對效能造成影響,讀者不需太過擔心而排斥進行更新。
Linux作業系統部分,可以透過Kernel.org網站下載4.14.11、4.9.74、4.4.109、3.16.52、3.18.91、3.2.97等核心適用的更新檔。
至於macOS、iOS、tvOS等作業系統的開發廠商Apple則在技術支援說明中提到,他們已經在macOS 10.13.2、iOS 11.2、tvOS 11.2等版本中修正Meltdown漏洞,而watchOS則不需修正,修正後的macOS與iOS在GeekBench 4、Speedometer、JetStream、ARES-6等效能測試中,皆沒有測試到效能差異。Spectre漏洞則會透過日後推出的更新檔修正,但可能會在ARES-6測試中造成2.5%的效能影響。
ADVERTISEMENT
Android部分則比較麻煩,Google已經將更新檔整合至1月份Android安全性更新中,如Nexus、Pixel等Google自家推出的裝置會自動安裝更新,但是其他廠牌的裝置則需要等廠商推出對應的更新檔。
瀏覽器也需更新
在瀏覽器部分,Firefox已於57.0.4版中,修正了Meltdown與Spectre的時序攻擊(Timing Attack),使用者只需透過內建的更新功能升級到57.0.4版以上即可。
ADVERTISEMENT
至於Google Chrome則會在預計於1月23日推出的Chrome 64版中修正問題,在這段期間使用者可以先開啟實驗性的網站隔離功能(Site Isolation),讓惡意網站難以竊取使用者除存於瀏覽器中的其他網站資料,其開啟方式如下:
1. 在網址列輸入「chrome://flags/#enable-site-per-process」。
2. 啟用Strict Site Isolation設定
3. 關閉並重新開啟Chrome
ADVERTISEMENT
Google也在官方部落格提到,最好的資安原則就是即早發現漏洞,並將問題完整修正。至於公有雲的部分,Google則表示由於專業的的服務商往往能夠快速套用更新、修正問題,所以可能還比傳統儲存方式更安全,使用者不需太過擔心。
ADVERTISEMENT