ARM漏洞

Google安全团队Project Zero公布了多个高危漏洞，称这些漏洞几乎影响到了市面上所有的微处理器，AMD、ARM还是英特尔的处理器都难以幸免，围绕这些处理器打造的操作系统和硬件设备也会受到影响。

 

尽管最初认为iPhone可能不会受到英特尔、AMD和ARM芯片中发现的Meltdown的Spectre漏洞的影响，但事情也许并没有那么乐观，今天早些时候ARM公司发布的一份咨询报告指出，确实有部分Cortex-A处理器受到影响，而采用其技术的一些苹果A系列处理器就可能受到牵连。

 

基于ARM架构，iPhone，iPad，iPod Touch和Apple TV搭载的芯片也可能受到影响。外媒9to5mac指出，ARM确认遭受这些漏洞攻击的Cortex A8芯片被用于开发第一代iPad和iPhone 4，iPod Touch（第四代）和Apple TV（二代）上使用的A4处理器。

 

此外，ARM还表示Cortex A9处理器也受到了影响，这意味着采用苹果A5芯片的设备也不安全，包括iPad 2，iPad mini（第一代），iPhone 4S，Apple TV（第三代）和iPod Touch（第五代）。另外，Cortex A15也受到了影响，iPhone 5和iPhone 5C上使用的A6处理器因此也被波及。

 

可能受到Meltdown和Spectre漏洞影响的苹果设备列表可能如下，但需要指出的是，这些都并未经过苹果官方证实。

 

而除了使设备容易受到攻击之外，这些漏洞对性能的拖累才是让人头疼的问题，目前苹果还未对此作出回应。

 

Meltdown：
严重程度最高，内核等级的漏洞，NGA展示了如何通过这个来获取密码，基本上所有服务器、云服务平台都要考虑这个安全性问题。Google安全研究队伍爆出来这个问题
需要打PTI补丁修复，影响性能，这就有人说最高降低30%性能的根源，但这个性能降低要看不同应用，但是一定会有下降，也不仅仅只有30%降幅，特定应用有50%降幅。

Spectre：
严重程度稍低，所有高性能处理器都可能有这个问题，用于窃取其他应用的内存信息，很难定位，也很难修复，但攻击方式也很麻烦，攻击手段的实用性也很难说明，可以系统打补丁修复，也可以应用程序自己修复。有两种攻击手段，对应有两种修复方式：
1.打补丁，不会影响性能，但是系统出不出补丁，能不能定位这个漏洞，那是软件厂商的事情。AMD表示等补丁，且不影响性能，Intel表示无可奉告。
2.AMD说不好意思这种攻击方式对他们处理器无效，Intel表示无可奉告。

A75中招Meltdown

以上搬运CHH以及NGA

 

Intel官方回应称，他们和相关科技公司已经完全了解到了安全漏洞的工作机制，如果被恶意理用，有可能会造成信息数据泄露，但是绝没有修改、删除和导致系统崩溃的可能。

第二点，关于该漏洞仅仅是Intel x86-64处理器的一个设计BUG或者说缺点，Intel认为报道有误。他们指出AMD/ARM的服务器系统事实上也受到波及，大伙儿正紧密配合，研究出最彻底的应对之策。

 

第三点，所谓的打上补丁后性能损失30%~35%。Intel强调，性能问题是与工作负载强关联的，不能一概而论。事实上，就每个用户而言，不会有显著影响，而且（即便性能削弱）也会随时间减轻。

Intel强调，他们已经开始提供软件和固件更新。本来都和微软、谷歌等企业商量好了，下周公开这一漏洞并同时给出解决方案，结果TheReg率先踢爆，同时各种所谓“Intel隐瞒不报、偷着修复”“性能大损失”“Intel x86设计十年大BUG”的报道出现，让他们不得不提前站出来，以正视听。

Intel最后说，他们的产品是世界上最安全的，同时，希望用户能及时跟进系统层面、芯片层面的更新，确保一直被保护。

最后简单一提，所谓事情的起源Intel的CPU架构（近十年的产品都涉及）被发现核心内存泄漏，有可能让恶意脚本直接读取核心内存，拿走敏感信息。同时，外部研究者称，Intel无法通过BIOS更新修复，Linux内核甚至Windows NT都要跟着填坑才行。