AMD陸續修補Spectre漏洞，本周解決Windows更新後無法開機問題

在1月初Google Project Zero揭露3項漏洞衍生出的Meltdown及Spectre攻擊影響眾CPU業界。AMD也開始發布更新的程序，並分別說明3項漏洞對旗下產品的影響及修補過程。

引起這次漏洞風暴的是CPU「推測執行」的設計瑕疵，衍生出的3項漏洞，其中CVE-2017-5753和CVE-2017-5715為Spectre，而CVE-2017-5754為熔毀（分別稱為變種1,2,3）。

雖然Google Project Zero指出AMD也在受影響名單，不過AMD一開始都聲稱該公司產品沒有風險，AMD上周終於做了詳細解釋。由於AMD產品的內存分頁（paging）架構使用許可權級別的防護，因此CVE-2017-5754 /Meltdown不會影響AMD產品。

但是CVE-2017-5753及CVE-2017-5715則都影響AMD。針對前者，AMD認為通過操作系統的修補就可以緩解威脅。無奈上周三傳出部份AMD電腦用戶升級的Windows發布的更新後反而無法開啟，致使微軟暫緩對AMD包括Opteron，Athlon，AMD Turion X2 Ultra已經和微軟合作解決問題，預計微軟本周就會重新恢複發布。此外，Linux業界也已發布修補程序。

另外較困難的CVE-2017-5715漏洞，AMD雖然認為其產品架構可增加攻擊難度，但是AMD仍然與夥伴合作一道來以降低風險，將結合處理器微碼更新及OS修補程序，提供給AMD用戶與合作夥伴。

上周開始AMD已經對Ryzen和EPYC處理器用戶發布微碼更新，前代產品用戶則會在未來幾周內接獲這些軟體更新會通過系統及操作系統供應商發布; Linux的業界已經發布修補程序，而Windows部分的修補程序，AMD則還在和微軟合力製作。此外，依據谷歌開源出來以緩解CVE-2017-5715的Retpoline，AMD也正和Linux的陣營合作開發中。

AMD表示AMD Radeon GPU架構並不使用推測執行技術，故不受影響。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！