Meltdown-Spectre漏洞：IBM准备修复受影响的PowerCPU固件和操作系统

IBM日前公布，已制定了一个为期一个月的计划，旨在修复旗下运行Power CPU的数据中心设备。IBM已经确认这些Power CPU因存在Meltdown-Spectre漏洞可遭到攻击。

IBM今天发布了针对Power7+和Power8 CPU的固件更新，修复Power9 CPU的固件更新将于1月15日发布。

在此以前，IBM一直未完全确认旗下的Power系统会受到Meltdown-Spectre型CPU攻击的影响，尽管红帽在1月3日的安全公告中曾表示，Meltdown和Spectre漏洞影响到IBM System Z、Power8和Power9系统。

IBM随即表示将为旗下“可能受影响”的Power处理器发布补丁，并称旗下的存储设备未受Meltdown-Spectre攻击的影响。IBM没有证实旗下System Z大型机系统存在漏洞，但建议客户查看System Z门户网站。

IBM在旗下的产品安全事件响应团队博客更新里表示，“该漏洞并不能令外部未经授权的人访问一台机器，但可能导致可访问该系统的人访问系统里未经授权的数据。”

不过，今天和本月晚些时候发布的固件更新只是解决IBM Power Systems上的Meltdown-Spectre攻击漏洞的一部分问题。IBM的Power Systems硬件需要针对Meltdown-Spectre漏洞打补丁才能完全保护系统，微软也曾对针对旗下的Surface设备结合Windows更新进行了固件更新。

AIX和IBM i操作系统计划于2月12日发布更新。

IBM的Power Systems硬件需要操作系统和固件补丁才能得到充分保护。

根据该时间表，Power Systems用户将有一个多月的时间安装固件更新，安装操作系统补丁前需安装固件更新。

IBM表示，“只有将这些补丁安装到系统固件和操作系统里才能彻底解决Power Systems客户端这个漏洞问题。固件补丁针对这些漏洞提供了部分的补救措施，固件补丁也是操作系统补丁生效的先决条件。”

IBM计划针对Power7+之前的Power CPU为客户提供有关补丁的更多信息，前提是这些Power CPU仍得到支持。

今天的固件更新也意味着运行Linux发行版的Power Systems客户现在已受到完全保护。

在Google披露了Meltdown和Spectre推测执行副通道攻击后，红帽、SUSE和Canonical都在上周发布了更新。