抵御CPU「推测执行」漏洞的攻击风险Google产品服务用户该注意什么

Google以详细的列表说明旗下各个产品服务受到漏洞的影响及用户因应措施。

Google

Google为了帮助使用者解决处理器上的「推测执行」（Speculative execution）漏洞安全性问题，详列了自家产品的状态以及解决之道（以下未提及的产品即不具风险，便不需要採取任何措施）。

Android的最新安全性更新已经解决「推测执行」漏洞，在支援服务内的Nexus以及Pixel系列装置也都受到保护，但是Google无法确认使用ARM的Android装置，是否都不会因为重现这个漏洞而洩漏敏感资讯。

Google的App与G Suite，包含Gmail、Calendar以及Drive等皆不受影响。Google Chrome即将在1月23日后释出的第64版不受影响。Chrome OS 63以前的版本将不会收到关于推测执行漏洞的更新修复程式，使用者可儘速更新2017年12月15日释出的Chrome OS 63。

而在Google云端服务的部分，Google Compute Engine的使用者需要更新虚拟机器作业系统以及应用程式，以避免推测执行漏洞影响。Google要求Kubernetes Engine的使用者更新runtime环境。

Cloud Dataflow的使用者需要特别注意，凡是2018年1月5日前启用且现在还在运作的串流以及批次管线都需要重启，1月5日之后的不受漏洞影响。而Cloud Dataproc的使用者无论是在同一个Cloud Dataproc丛集执行多重还是不受信任的工作负载，都需要更新共享的丛集映像档。未提及的Google云端产品都不受影响。