時間:2018-01-04 來源:互聯網 瀏覽量:
為了解決以Intel處理器為代表的致命漏洞麻煩,很多廠商都不得不做出重大修補。
微軟方麵,Windows 10今天連下四道補丁,分別是KB4056892、KB4056891、KB4056890和KB4056888,分別麵向秋季創意者更新(Version 1709)、創意者更新用戶(Version 1703)、年度更新(Version 1607)、秋季更新(Version 1511),升級後版本號迭代為Build 16299.192、15063.850、14393.2007和10586.1356。
雖說這些屬於累積更新,但在修複BUG提升性能的同時,最重要的一點就是NT內核級的調整,用來封堵Meltown和Spectre兩個漏洞。
微軟還承諾,麵向Win7/8.1用戶的補丁會在下周二補丁日發布,至於Windows 10 Insider會員,去年11月內核調整時就已經修複完畢。
與此同時,由於BUG會影響包括Amazon EC2、Microsoft Azure和Google Compute Engine在內的大牌雲計算環境,微軟的Azure雲(運行大量Linux和Windows)將在1月10日進行維護和重啟,大概會部署上述修複程序。
亞馬遜AWS通過電子郵件警告客戶,預計本周五將有重大安全更新登陸,而不會涉及細節。
今天中午,騰訊雲也宣布1月10日淩晨01:00-05:00通過熱升級技術對硬件平台和虛擬化平台進行後端修複。
Linux CN表示,因為Intel無法通過微代碼更新填坑,Linux/Windows麵臨重新設計,雲服務廠商受損最猛。
專家指出,現代處理器,如Intel,執行推測性執行。為了保持內部管道的指令符合要求,CPU內核會盡力猜測接下來要運行的代碼,取出並執行它。
AMD處理器不受內核頁表隔離功能所抵禦的攻擊類型的限製,AMD微架構不允許內存引用(包括推測引用)在訪問將導致頁麵錯誤時以較低特權模式訪問較高特權的數據。
Intel的CPU可能在沒有執行安全檢查的情況下推測性地執行代碼。似乎有可能以處理器開始執行通常被阻塞的指令(例如從用戶模式讀取內核存儲器)開始執行軟件,並且在特權級別檢查發生之前完成該指令。
這將允許ring-3級用戶代碼讀取ring-0級內核數據。
這一問題和前不久Intel的ME漏洞突然契合了起來。
目前,Intel陣容中,僅IA-64架構的安騰和極少數老Atom不受影響。
至於ARM,在Linux修正內核中已經包含了為arm64準備的的等效“內核頁表隔離kernel page-table isolation” (KPTI)補丁集。