security board image

AMD 處理器:Google Project Zero、Spectre 和 Meltdown

AMD 處理器安全性更新

1/11/2018

多個研究團隊於 1 月 3 日公開揭露其所發現與現代微處理器處理推測執行的方式相關的安全性問題,促使前線更需持續保持警覺,以保護與確保資料的安全性。這些威脅不斷試圖突破保存安全資料的微處理器架構控制。

在 AMD,安全性是我們的第一考量,並持續致力於確保我們的使用者面臨新風險時的安全。為落實保持警覺性,我希望在社群更新我們針對這個情況所採取措施的相關資訊。

  • Google Project Zero (GPZ) Variant 1 (繞過邊界檢查或 Spectre) 適用 AMD 處理器。
    • 我們相信作業系統 (OS) 修補程式可以遏制這個風險,且我們一直以來持續與 OS 提供者合作解決這個問題。
    • Microsoft 現已發布了適用大部分 AMD 系統的修補程式。至於較舊的 AMD 處理器 (AMD Opteron、Athlon 和 AMD Turion X2 Ultra 系列),我們也於本週稍早開始與他們密切合作修正造成修補程式發布暫停的問題。我們預期能在很短的時間內修正這個問題,Microsoft 會在下週恢復這些較舊處理器的更新。如需最新的細節,請參閱 Microsoft 網站
    • Linux 廠商亦開始發布適用各 AMD 產品的修補程式。
  • GPZ Variant 2 (分支目標注入或 Spectre) 適用 AMD 處理器。
    • 雖然我們相信 AMD 的處理器架構使 Variant 2 安全性漏洞攻擊變得困難,但我們仍持續與業界針對這個威脅密切合作。我們已透過結過處理器微碼的更新與 OS 修補程式定義了額外的步驟,相關資訊我們將會提供給 AMD 客戶與夥伴以進一步緩解這個威脅。
    • AMD 從這星期開始為我們的客戶與夥伴提供適用 Ryzen 和 EPYC 處理器的選用微碼更新程式。我們預期會在未來幾週提供前幾代產品的更新程式。這些軟體更新將由系統供應商和 OS 廠商提供;如需關於您的組態適用的選項與需求最新資訊,請洽您的供應商。
    • Linux 廠商已開始發布適用 AMD 系統的 OS 修補程式,且我們正與 Microsoft 針對發布其修補程式的時間點密切合作。我們亦與Linux 社群就「返回蹦床」(Retpoline) 軟體緩解措施的開發進行緊密互動。
  • GPZ Variant 3 (未管理資料快取載入或 Meltdown) 不適用 AMD 處理器。
    • 我們相信 AMD 處理器不會受到威脅,因為分頁架構內具備了權限等級保護功能,因此不需緩解措施。

此外還有一些關於 GPU 架構的問題。AMD Radeon GPU 架構不使用推測執行,因此亦不會受到這些威脅的影響。

我們將會在這個網站適當地提供進一步的更新資訊,同時 AMD 將與業界持續合作開發緩解解決方案,保護使用者不售這些最新安全性威脅的影響。

Mark Papermaster,
資深副總暨技術長

資訊安全對 AMD 至關重要

1/03/2018

目前有一些關於現代微處理器和推測執行的潛在安全性問題的報導。資訊安全對 AMD 至關重要,我們的安全性架構緊密貼近技術生態系統,以防範最新的威脅。

除了必須瞭解 AMD 產品相關研究中所陳述的推測執行漏洞外,還必須謹記:

  • 這些研究是在受控制的專屬實驗室環境下,由具備充份知識的團隊運用有關目標處理器的詳細非公開的資訊執行。
  • 研究中所述的威脅尚未在公眾領域中出現。

當 AMD 得知研究人員已發現目前有一種新的 CPU 攻擊,專門針對多家晶片公司產品採用的推測執行功能時,我們立即進行跨生態系統合作,來解決該團隊發現的威脅。

研究團隊指出推測執行研究中的三種類型。下表詳細說明研究中指出的特定類型以及 AMD 的詳細回應。

類型/AMD 回應表格

  Google Project Zero (GPZ) 研究標題 詳細資料
類型一 繞過邊界檢查 透過系統商和製造商提供軟體/OS 更新來解決問題。預期會出現可忽略不計的效能影響。
類型二 分支目標注入 AMD 架構中的差異意味著利用此類漏洞的風險幾乎為零。截至目前為止,AMD 處理器尚無出現類型 2 漏洞。
類型三 未管理資料快取載入 基於 AMD 架構差異,未出現 AMD 漏洞。

隨著安全性版圖不斷演化,業界內資訊分享共同合作是最強大的防禦力量。

目前提供防範各種可能攻擊的全方位保護仍是難以達成的目標,然而,最新的實例展現了業界合作所帶來的威力有多大。

AMD 一貫強烈鼓勵客戶採取電腦安全使用措施,例如:不要按下無法識別的超連結、遵循高強度密碼協定、使用安全的網路,以及接受定期軟體更新。