CPU漏洞引爆全球危机 360安全专家深度解析防御策略

　　1月4日，国外安全研究者披露的Meltdown消融/崩垮(CVE-2017-5754)及Spectre幽灵(CVE-2017-5753 & CVE-2017-5715)两组CPU漏洞引发了全球安全恐慌。这场由英特尔CPU漏洞衍生出的安全问题，波及了全球所有桌面系统、电脑、智能手机及云计算服务器。

　　对此，360安全中心紧急展开了漏洞响应，并发布了预警通告及详细解读。360核心安全事业部总经理、Vulcan团队负责人郑文彬提醒广大网民，无需过分恐慌，只要保证良好的上网习惯，为操作系统、虚拟化软件、浏览器等及时更新补丁，同时，安装及开启安全软件，就能在第一时间防御利用这些漏洞的攻击程序。

　　全球网民无一幸免!漏洞本身却并不可怕

　　现代处理器(CPU)的运作机制中存在两个用于加速执行的特性，推测执行(Speculative Execution)和间接分支预测(Indirect Branch Prediction)。这两组CPU漏洞的利用依靠推测执行特性，通过用户层面应用从CPU 内存中读取核心数据。推测执行技术从1995年开始应用，所以近20年的Intel, AMD,　Qualcomm厂家和其它ARM的处理器几乎都受到影响;

　　l Meltdown的具体影响范围：

　　Intel CPU用户：几乎所有(1995年之后的所有的CPU型号，除了2013年之前的Intel 安腾和Atom外)

　　AMD CPU用户：根据AMD公司的声明，目前AMD CPU不受Meltdown漏洞影响

　　ARM CPU用户：根据ARM公司的声明，包括Cortex-A75在内的少数ARM核心CPU受影响

　　l Spectre的具体影响范围：

　　Intel CPU用户：几乎所有

　　AMD CPU用户：几乎所有

　　ARM CPU用户：根据ARM公司的声明，包括Cortex-A8， Cortex-A9等在内的约十种ARM核心CPU受影响，其他类型的ARM CPU不受影响

　　虽然影响范围极广，但漏洞本身的危害却并不十分严重，前也没有任何已知的利用这些漏洞进行攻击的案例被发现。攻击者虽可利用该漏洞窃取隐私，但无法控制电脑、提升权限或者突破虚拟化系统的隔离。此外，该漏洞不能被远程利用，更无法像“永恒之蓝”漏洞一样，在用户没有任何交互操作时就实现攻击。

　　郑文彬表示，漏洞利用的前提需要攻击者已经在用户系统及云计算客户系统上运行恶意程序，这一点完全可以通过良好上网习惯及安全软件的防御避免，更能够杜绝CPU漏洞与其他漏洞相结合实施的进一步危害。

　　彻底修复难度高!解决CPU漏洞需要厂商联动

　　“这两组漏洞影响力之所以这么大，一方面是因为受影响范围广泛，另一方面则是因为修复难度大。”郑文彬表示，漏洞波及面特别广，几乎所有的主流智能终端，电脑、笔记本、Pad、手机、IOT设备的CPU都受到影响。

　　除了影响全球网民，CPU漏洞的影响力也来自于其漏洞修复的高难度。尽管是CPU硬件的漏洞， 但是仅通过CPU厂商进行安全更新(例如升级CPU微码)是无法解决这一问题，修复这些漏洞需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商一起协作并进行复杂且极其深入的修改，才能彻底解决问题，对于这些影响如此广泛的漏洞来说要完美做到修复更是困难。

　　目前，各大厂商对该漏洞事件反应及时，相关平台、软件提供商都在积极应对该漏洞，部分厂商已经提供了解决方案。Intel建议关注后续的芯片组更新、主板BIOS更新;针对Meltdown漏洞，Linux已经发布了KAISER;macOS从10.13.2予以了修复;谷歌称已经修复;Win10 Insider去年底修复;Win10秋季创意者更新今晨发布了KB4056892，将强制自动安装;亚马逊随后也公布了指导方案;对于难度更高的Spectre漏洞，各厂商目前也仍在攻坚中。

　　补丁致性能损耗不可尽信!打补丁仍是防护首要一步

　　目前，虽然部分软件及系统已有补丁，但由于网上流传着“补丁将导致CPU性能损耗30%”的说法，不少网民深表担忧。

　　对此，郑文彬表示，这种说法比较片面，30%的性能损失是在比较极端的专门测试情况下出现的，通常的用户使用情况下，尤其在用户的电脑硬件较新的情况下(例如绝大部分在售的Mac电脑和笔记本)，这些补丁的性能损失对用户来说是几乎可以忽略不计

　　此外，目前的补丁还只是第一步的动作，接下来包括微软、Intel在内的厂商还会进一步推出针对性的补丁，进一步降低补丁对性能的损耗。同时，对于广大使用32位X86操作系统的用户，目前的补丁对性能的损失几乎可以忽略不计。

　　因此，打补丁仍是防护CPU漏洞攻击最重要一步。目前，网民可以通过以下安全策略进行防护：

　　l 升级最新的操作系统和虚拟化软件补丁：目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁，升级后可以阻止这些漏洞被利用;

　　l 升级最新的浏览器补丁：目前微软IE、Edge和Firefox都推出了浏览器补丁，升级后可以阻止这些漏洞被利用;

　　l 等待或要求你的云服务商及时更新虚拟化系统补丁;

　　l 安装安全软件：360安全卫士会在第一时间发现可能的利用这些漏洞的攻击程序并进行杀除及防护。此外，360安全团队还会对该漏洞保持研究，并实时为网民更新推送完整的解决方案。