文章提供：图文资通组

文章来源：https://www.bnext.com.tw/article/53290/intel-cpu-flaw

Intel处理器再爆新漏洞，Mac、Chromebook、Windows用户快更新

发佈日期：2019/05/15 消息来源：数位时代

2019.05.15 by 陈建钧

图片来源：shutterstock

记得2018年初引起全球哗然的Intel处理器（CPU）安全瑕疵吗？如今类似的漏洞再度捲土重来，让骇客能以CPU为入口，窃取电脑资料，尽管各家厂商已陆续发布修復更新，若要完全防阻漏洞，可能导致CPU性能下滑最多40%。

2018年漏洞捲土重来，影响层面广
此漏洞的正式名称为「微架构数据採样」（Microarchitectural Data Sampling），但如同过去的Meltdown与Spectre，它有个更平易近人的暱称：Zombieload。

Zombieload影响范围扩及Intel近9年来生产的绝大多数CPU，包括Intel Xeon、Intel Broadwell、Sandy Bridge、Skylake以及Haswell处理器架构；Intel Kaby Lake、Coffee Lake、Whiskey Lake、Cascade Lake、Atom和Knights也都受到影响；AMD与ARM架构的处理器，不受本次漏洞影响。

搭载Android、Chrome、Linux、macOS、Windows等作业系统的装置皆受到影响，连云端伺服器都有可能成为攻击目标。 不过Intel强调，利用此漏洞进行攻击的难度非常高，目前尚未接获实际遭受骇客攻击的消息。

本次传出的Intel CPU资安漏洞，由奥地利格拉茨科技大学与比利时荷语天主教鲁汶大学的学者共同揭露。在验证示范中，研究人员成功利用这项漏洞，得知使用者正在浏览哪些网站，并能藉此轻易获得使用者的帐号密码等私人资讯。

研究人员认为，本次漏洞的严重性介于去年初揭露的Meltdown与Spectre之间，比Spectre更严重，但不如Meltdown。（延伸阅读：Intel出包！处理器存在重大安全漏洞，Windows、Mac 、Linux电脑全中标）

Intel解释，骇客要在同一台电脑上运行程式，才能透过Zombieload发动攻击，也因此用户完全不必恐慌。换句话说，只要电脑没有被植入病毒，便不会遭骇客窃取资料，没有立即性风险。

Zombieload利用CPU「推测执行」功能上的缺陷。CPU可透过此功能提前执行可能会用上的程式，加速处理程序；Meltdown与Spectre攻击也同样是瞄准推测执行功能的漏洞。

各大厂商陆续发布修復更新，但CPU性能恐受影响
在Intel正式公布此消息后，苹果、Google、微软、火狐、亚马逊等各家厂商已火速发布修復更新，但如同过去针对推测执行漏洞上的修復，将造成CPU性能一定程度的下降。

Intel表示，修復漏洞对一般个人电脑的影响微乎其微，最多只会导致CPU效能下降9%，实际使用时难以察觉，不过Intel测试时使用旗下最新锐的i9-9900k处理器，似乎不是很有说服力。

Intel测试关闭超执行绪功能后，对CPU性能造成的影响。图片来源：Intel

另外，苹果在官网上提到，若要为装置提供全面性的防护，需关闭CPU中的超执行绪功能，但苹果于5月进行的测试显示，依据Mac型号不同，关闭此一功能最多可能导致CPU效能下降40%。

Google则表示，绝大多数Android设备不会受到这项漏洞影响；Chrome作业系统（Chromebook）目前已完成安全更新，永久性防护将在下个版本推出；微软也已为Windows系统推出更新，同时声称Microsoft Azure用户安全无虞。

但目前的修復仍属治标不治本。Meltdown与Spectre的诞生已为骇客攻击的管道「另闢新径」，研究人员预计，Zombieload可能只是第一枪，未来数年之内，我们将看见更多隐藏在电脑处理器上的漏洞。