Tag: 漏洞

Alphabet稍早宣布成立名為Chronicle (編年史)的網路安全公司，將著重在追蹤、阻止各類網路攻擊，同時也將藉由人工智慧與深度學習，以及更好的搜尋能力協助確認網路安全情況，並且更快找出系統漏洞。 根據Chronicle執行長Stephen Gillett說明，由於許多公司在網路安全方面甚少做到隨時檢視漏洞，因此可能系統已經遭受駭客攻擊卻仍未能警覺，通常可能已經發生超過一段時間後才發現，並且必須花費更多人力、財力與時間進行修補。因此，Chronicle成立目的便是希望藉由人工智慧、深度學習與更好的搜尋能力，協助合作夥伴更快發現系統漏洞安全問題，同時也能提供網路安全防護服務。 確實如Chronicle說明，許多企業行號對於網路安全資訊多半採用被動式的防護措施，並且在問題發生時候才開始投入人力進行修復、改善，但往往必須花費更多財力與時間等成本，因此Chronicle希望藉由主動挖掘問題改善企業可能面臨網路安全危機，藉此減少系統漏洞釀成更大危機比例。 而除了結合Google本身具備強大網路搜尋能力與目前持續成長的人工智慧技術，Chronicle也將整合Google在2012年收購的病毒掃描工具VirusTotal，透過每天接收超過100萬份網路安全資訊，以及標榜全球最多電腦病毒分析數據，藉此協助比對企業系統安全是否面臨病毒或惡意攻擊風險。 目前Chronicle已經與全球前500大企業進行合作，並且提供預覽試用其服務，希望能提供改善包含美軍、國家安全局等政府機構，以及諸如Equifax、Forever 21、Accenture等大型企業，甚至包含政治人員、投票系統等可能面臨資訊安全問題。

稍早證實透過傳遞特定簡訊即可讓iPhone、iPad、Mac系列機種當機的系統漏洞後，蘋果表示將在下週間釋出新版軟體更新修正此項問題。 蘋果表示，將在下週間釋出新版軟體更新，預計修正稍早證實藉由特定簡訊內容即可造成iPhone、iPad、Mac系列機種當機的系統漏洞。除了釋出iOS 11.2.5版本更新，蘋果將同時釋出macOS High Sierra 10.13.3、watchOS 4.2.2，以及tvOS 11.2.5修正此次發現漏洞問題。 近期由開發者Abraham Masri在蘋果裝置發現漏洞，並且將此項漏洞命名為chaiOS，同時製作一組名為text bomb的攻擊連結，一旦使用者將此項連結透過簡訊傳遞給iOS或Mac裝置，而接收者不慎點按連結時，就會造成iOS或Mac裝置當機或重啟。 此外，若透過其他網路通訊軟體傳遞給其他人的話，即便未實際點按連結也可能造成Mac裝置內建Safari瀏覽器無法正常使用。

除了日前因電池老化而在新系統更新內使舊款iPhone處理器降頻，造成不少消費者興起集體訴訟後，蘋果稍早再次因為近期處理器漏洞問題面臨提告。 雖然在Intel坦承處理器確實受到Google Project Zero通報兩組漏洞Meltdown、Spectre影響後，蘋果隨即也說明部分iOS、Mac裝置同樣受到漏洞影響，並且在短時間內釋出系統更新，但仍有消費者對此不滿，認為蘋果刻意隱匿漏洞問題。 由Anthony Bartling及Jacqueline Olson等人在美國聖荷西地方法院提出集體訴訟，認為蘋果早在去年6月就應知曉漏洞問題，卻未在第一時間向使用者告知，因此認為蘋果刻意隱匿此項問題。在此之前，Intel也同樣面臨訴訟，原因也基於Google Project Zero在去年6月便對外通報此項漏洞問題，而ARM也隨即向其合作夥伴通報，其中包含Intel、蘋果在內合作夥伴。 此外，集體訴訟內容更指出蘋果即便透過更新修補漏洞，但仍影響處理器運作效能表現，因此明顯讓使用者權益大受影響。目前大約有100人參與此項集體訴訟，若法院確認蘋果敗訴的話，將使蘋果面臨約500萬美元賠償。 而在此之前因電池老化而透過更新讓舊機處理器運作時脈調降的作法，目前在美國境內已經面臨多達39起集體訴訟，若加上法國、以色列、俄羅斯、韓國、越南與加拿大等地區訴訟數量，則約累積達45起。

針對先前說明漏洞更新安裝後將造成處理器效能影響情況，Intel隨後說明整體效能大致最多僅比原本運作效率降低10%。 根據Intel稍早於官方部落格所做說明，安裝稍早釋出更新後的處理器效能影響約在10%左右，其中採Kaby Lake、Coffe Lake架構設計的第8代Core i系列處理器搭配SSD且安裝Windows 10作業系統的話，效能影響則僅在6%左右，而第7代Kaby Lake-H架構設計的Core i系列行動處理器效能影像則在7%左右，至於採Skylake-S架構設計的第6代Core i系列處理器效能約影響達8%左右，最高影響程度達10%。 不過，依照硬體規格版本差異也可能出現不受影響情況，例如用於遊戲表現效能幾乎不受影響，僅採Kaby Lake架構的第8代Core i系列處理器運作效能下滑1%，而第6代Core i系列處理器也僅在3DMark Sky Diver - Physics測試項目出現效能下滑1%，甚至在3DMark Sky Diver整體測試效能表現出現提昇1%情況。 就Intel說明，此次漏洞影響釋出更新確實會造成處理器運算效能改變，但實際感受影響幅度並不算大，甚至一般使用在平常操作幾乎感受不出來。不過，若是對於分秒必爭的雲端運算服務而言，整體運算效能稍有偏差便可能造成嚴重數據錯誤，因此自然對此次漏洞問題十分重視。

雖然先前強調自家處理器並不受此次傳開的漏洞問題影響，但AMD稍早終究還是發出聲明表示承認漏洞問題確實造成影響。 在稍早釋出聲明裡，AMD雖然整體上仍強調漏洞問題並不會影響期處理器運作及效能，但將先前絕對不受漏洞攻擊影響的說法作了調整，表示仍有其可能性。根據AMD說明，目前從Google Project Zero報告所指漏洞Spectre衍生變種版本仍可能對AMD旗下處理器造成影響，但以Meltdown衍生變種版本則不構成任何影響。 此外，AMD也強調旗下GPU產品並不受任何漏洞影響，並且說明此次漏洞問題主要僅影響CPU設計，而現階段受影響處理器廠商則包含Intel、AMD，以及基於ARM架構設計的蘋果、Qualcomm等晶片廠商。 不少採用Intel、AMD處理器推行的雲端服務廠商如亞馬遜、Google、微軟等稍早已經針對處理器漏洞問題釋出更新，而諸如NVIDIA、技嘉、微星等廠商也針對Intel處理器漏洞問題釋出更新，藉此修復因處理器漏洞造成的軟體問題。 由於先前曾大勢聲明旗下處理器不受此次漏洞問題影響，但隨後改口承認處理器仍可能受影響之後，AMD股價隨後即受到影響。

由於近期Intel處理器漏洞問題延燒，NVIDIA執行長黃仁勳再次重申旗下GPU產品並不受影響，針對稍早釋出更新內容強調是因為本身提供GeForce Experience在內軟體服務，因此必須針對基於Intel處理器的硬體設備提供修正內容，並非代表旗下產品有安全疑慮。 根據黃仁勳說明，比照微軟、亞馬遜分別針對旗下作業系統與雲端服務釋出更新，此次NVIDIA其實是針對旗下對外提供使用的GeForce Experience釋出更新，避免受到Intel處理器漏洞問題產生更大影響。 由於此次更新主要是針對Intel處理器漏洞問題釋出，部分媒體因此產生誤解而認定NVIDIA旗下產品也有漏洞問題，因此黃仁勳在稍早接受訪談時再次對此作澄清，強調旗下GPU並未受此次處理器漏洞風波影響。 不過，由於NVIDIA針對自動駕駛打造的車用超級電腦同樣採用ARM架構設計，因此可能也將面臨漏洞影響。而ARM在稍早聲明中已經證實此類問題，並且著手改善旗下受影響的處理器架構設計，避免產生更大潛在風險問題。 除了NVIDIA旗下Tegra系列處理器可能面臨漏洞影響，先前蘋果已經證實旗下部分處理器將藉由特定更新解決漏洞問題，而Qualcomm稍早同樣對外證實旗下處理器可能受漏洞影響消息，但並未具體說明實際將受影響的處理器規格。 對Intel與AMD處理器合作結盟看法 而針對近期Intel與AMD合作，將Radeon Vega顯示架構與第8代Core i系列處理器以EMIB封裝形式整合，藉此讓G系列處理器能直接發揮獨立顯示卡運算效能的合作，黃仁勳則是開玩笑地說「Intel沒有來找我」，但也強調目前與Intel之間仍維持長期合作模式，同時說明本身提出的Max-Q輕薄遊戲筆電設計能發揮更高運算效能與運作穩定表現，同時目前也有越來越多合作夥伴加入此類機種設計。

由於近期傳出處理器漏洞災情同時影響Intel、ARM架構在內處理器，在蘋果稍早證實旗下iOS裝置採ARM架構設計的A系列處理器，以及採用Intel處理器的Mac系列裝置均可能受影響，並且隨即釋出修補更新後，Qualcomm也對外聲明已經針對旗下處理器產品製作漏洞安全更新。 不過，Qualcomm並未具體說明旗下哪些處理器產品受到漏洞災情影響，但市場認為既然採ARM Cortex-A75架構設計處理器都可能面臨漏洞影響之下，近期才在夏威夷技術大會上揭曉的高階處理器Snapdragon 845可能也在受影響名單內。 如同Intel在此次漏洞災情消息傳開後，股價在短短兩天內下滑5.2%，頓時蒸發將近113億美元市值，Qualcomm股價也在稍早下滑約1%左右。 而若近期剛揭曉的Snapdragon 845處理器也恰好面臨此次漏洞災情影響，或許將使Qualcomm近期市場銷售表現不利。

近期因Meltdown及Spectre兩個處理器漏洞，使得Intel品牌形象大受影響，即便Intel強調實際受影響情形不大，同時也積極快速釋出更新內容進行修復，但由於市場傳出Intel早在去年6月間就已經知道此漏洞問題，因此造成Intel市值在短短兩天內蒸發近113億美元，甚至將面臨美國多項集體訴訟官司。 根據Google Project Zero於去年6月便通報Intel相關處理器漏洞問題，Intel卻未能在知情當下立即向伺服器硬體合作夥伴、消費者通報處理器存有嚴重漏洞問題，因此在近期漏洞問題遭大幅報導之後，即便Intel表示已與ARM、AMD在內廠商合作填補漏洞，同時強調漏洞問題不會構成嚴重影響，依然引發許多不滿。 目前美國地區包含加州、俄勒崗州與印第安納州境內地方法院已經接到向Intel發起訴訟，而Intel方面也因為漏洞問題在近兩天內蒸發約113億美元市值。 而Intel未能在去年知曉漏洞問題後進行告知，有可能與當時準備宣布推出新款第8代Core i系列處理器有關，為了避免漏洞問題影響產品銷售而選擇不主動告知。同時，此項漏洞問題始終未能在被大幅報導前完成修補，也代表此漏洞問題必須花費數個月時間才能獲得改善。 包含蘋果、微軟、Intel在稍早時候均已宣布釋出相關更新，並且呼籲消費者儘快藉由更新修補漏洞，而Intel表示預計下週將會釋出新一波更新內容，藉此全面修復漏洞問題。 在此次爆出處理器漏洞危機後，顯然AMD成為此次災情「受益者」，基於處理器架構與Intel處理器有設計上的差異，使得AMD放心地對外宣稱本身處理器幾乎不受此次漏洞災情影響，同時不少投資者拋售Intel股票之餘，有不少比例轉向購買AMD股票，使得AMD股票在近兩天內攀升10.4%，相比Intel股票則是下滑5.2%，頓時蒸發將近113億美元市值。

Google稍早公布兩組Android平台漏洞，分別為CVE 2016-3861與CVE-2016-3862兩組漏洞問題，前者將可能透過各類方式透過程式碼漏洞提高運作權限，進而將各類惡意程式安裝在系統內，或是直接存取裝置資料，後者則可將惡意程式編碼隱藏在圖像EXIF數據內，藉此透過圖片複製傳播方式將惡意程式放進使用者持有裝置，並且進行攻擊。 根據Google Project Zero安全團隊公布消息，目前這兩項安全漏洞已經被確認，預計最快將在下週二以後釋出安全修正內容，但預期將僅先提供Nexus裝置取得更新，包含HTC、三星、LG貨Sony等合作夥伴生產機種則預期需在後續才會獲得修正。 除此之外，行動資安公司Checkpoint稍早也在Google Play平台超過40組App內發現名為DressCode，以及名為CallJam的惡意程式，前者將會產生偽裝廣告點擊數量，後者則會在取得權限後擅自撥打付費電話，目前兩款惡意程式都已經從Google Play服務上移除。 Android平台過去經常被指出有不少漏洞，例如可能透過Google Play上傳App夾帶病毒進行感染、攻擊，或是利用APK檔案安裝形式散播惡意程式，此外也可能藉由Android平台版本漏洞進行攻擊。雖然目前Google已經持續強化系統漏洞安全，並且持續過濾Google Play問題App，但隨著Android平台持續呈現的系統版本碎片化問題、中國地區依然盛行APK檔案安裝使用模式，依然讓Android平台仍持續傳出系統安全漏洞問題。

微軟對旗下被視為接替IE瀏覽器的Microsoft Edge寄予厚望，除預期在日後宣傳內容著重此項產品曝光之外，更計畫以更快速度修正此款處理器產生問題，因此早宣布在Twitter頁面開通「#EdgeBug」hashtag內容，藉此建立與使用者更快溝通、討論管道，並且在最短時間內修正各類問題。 根據微軟表示，未來將藉由開通Twiiter服務的「#EdgeBug」hashtag內容，讓使用者可直接在Twitter服務通報Microsoft Edge瀏覽器問題，讓微軟能藉此近距離與使用者互動，並且以快最速度修正瀏覽器問題。 相比過往必須透過線上回報系統填寫使用異常或系統漏洞等問題，微軟期望能以傳播效率相對快速的Twitter服務建立快速回報機制，並且隨時傾聽使用者當下反應問題進行修正，而非等待一段時間後才開始提供修正，甚至讓使用者可直接透過手機裝置就能回報相關問題。 透過建立「#EdgeBug」hashtag內容，微軟方面可以更快速追蹤當前使用者發現問題，而使用者也能藉此確認操作異常是否為系統漏洞。 同時，微軟也會要求提報內容至少需透過諸如codepen.io、jsfiddle.net、jsbin.com，或是dribblet.com網站進行測試，釐清異常情況是否為漏洞問題造成，並且清楚描述問題發生情況，以及預期應該正常運作結果。 在此之前，微軟表示未來包含Windows在內產品都將走向服務取向，意味日後更新腳步將隨著市場需求、使用者體驗做改善，不再像過往維持一定週期時間才釋出更新。而在未來視為重點發展項目的Microsoft Edge瀏覽器，更將成為微軟著重宣傳項目，因此將會以更快腳步維持此款瀏覽器更新速度。 Introducing #EdgeBug: File web platform bugs with a Tweet https://t.co/JDosJghmUw Thanks to @LeaVerou for the idea! pic.twitter.com/0k4EsRwpzw— Microsoft Edge Dev (@MSEdgeDev) ...