FAQ詳解“Meltdown和Spectre”問題,接踵而來的“Skyfall和Solace”是否僅是騙局?

架構師技術聯盟發表於2018-01-20

640?wx_fmt=png&wxfrom=5&wx_lazy=1


0?wx_fmt=gif&wxfrom=5&wx_lazy=1

      在Google公司安全團隊Project Zero披露Intel處理器Meltdown(熔燬) Spectre(幽靈)漏洞後,該漏洞在2018年初震動了計算機世界。現在據說還有兩個漏洞:Skyfall和Solace(他們的命名來源於詹姆斯·邦德電影的靈感)。據訊息來源稱,這些漏洞也是物理晶片的問題,所以它們非常難以完全確定地消除。

 

      據說Meltdown和Spectre 漏洞是利用預測執行,這是現代CPU的一個特點。細節仍然很少,但Skyfall和Solace漏洞使用與Meltdown和Specter 相同的推測執行攻擊。根據漏洞資訊網站(https://skyfallattack.com/)的說法,微軟,蘋果和谷歌等作業系統以及AMD,英特爾和ARM等晶片製造商將再次需要共同努力來解決這些問題。The Register在Twitter上報導,他們相信Skyfall和Solace漏洞是一個騙局,因為他們的晶片製造商聯絡人還沒有聽說過這個漏洞。

 

      關於Meltdown和Spectre 漏洞(Intel和相應裝置廠商都發布預警和解決措施),都快被媒體說爛了,大多都聚焦在表象作為News在傳播,今天,我們會把漏洞最常見問題的進行梳理,並彙總解答(參考自www.heise.de),以便大家參考和防禦自己的系統。

 

1.到底發生了什麼?

      Google一組研究人員發現了處理器硬體架構中的漏洞。攻擊者通過巧妙利用這些惡意程式碼漏洞,可以讀取計算機在記憶體中處理的所有資料,包括密碼和祕密訪問程式碼。


2.這個漏洞是否叫做“Meltdown”和“Spectre”?

      不是, Meltdown和Spectre是允許惡意程式碼利用硬體攻擊場景的名稱。總體而言,是谷歌公佈的三次進攻方案。CVE-2017-5753 (Spectre1,範圍檢查繞道),CVE-2017-5715 (Spectre2,分支目標註入)和CVE-2017-5754  (Meltdown,盜取資料快取)。


3.我的裝置是否受到漏洞的影響?

      是的!有一定的概率。易受攻擊的處理器存在於各種裝置中,從桌上型電腦,膝上型電腦,智慧手機,平板電腦到流媒體盒。


4.防病毒程式可以保護我免受可能的攻擊嗎?

      不能。


5.哪些處理器完全受到影響?

      處理器製造商已經發布了受影響處理器的詳細清單。基本上,現在和以前的處理器都至少容易受到三種攻擊中至少一種的影響。

  • 這包括2008年以來所有的Intel處理器: Atom C,E,A,X3和Z和賽揚和奔騰J和N系列。

  • 在智慧手機和平板電腦中,ARM列出了大量的Cortex系列處理器,以及其他SoC組合處理器,例如Nvidia的Tegra晶片。

  • IBM POWER和Fujitsu SPARC CPU也很脆弱影響。

  • 樹莓Raspberry Pi處理器不受影響。


6. AMD處理器是否受到影響?

      AMD處理器實際上容易受到三種攻擊場景中兩種(即Specter Variation 1和2)影響。AMD最初認為 其處理器由於其架構而不易受到SpectreVariation 2的影響,但一週後發現不得不對其影響進行修改。

0?wx_fmt=png

7.哪些作業系統受到影響?

      由於這是一個硬體漏洞,所以涉及的作業系統都受到影響,比如Windows,Linux,macOS,iOS,Android和FreeBSD。


8.我們怎樣才能保護自己的系統?

      更新系統,像微軟這樣的作業系統供應商已經推出了你應該儘快安裝的更新。但是應用程式和驅動程式也要保證安全,如Firefox瀏覽器或Nvidia顯示卡驅動程式也推出更新。


9.這些更新是否解決處理器的問題?

      不是, 它們只會降低惡意軟體利用其中一種漏洞攻擊的風險,沒有實現100%的保護。


10.哪裡可以找到更新?

      當更新功能被啟用時,作業系統更新自動進入。您還應定期重新啟動計算機,以便可以完成更新。但是,微軟指出,使用者需要對硬體的微碼或BIOS /韌體更新,這些更新需要各自的硬體製造商負責提供。

      實際上,計算機系統和軟體應用程式製造商在其網站上列出安全建議和更新。從heise網站(www.heise.de)可以找到更新的列表。


11.哪些英特爾處理器獲得微碼更新?

      英特爾計劃在1月份為所有在過去五年建造的處理器提供微碼更新。目前還不清楚老處理器的情況。


12.我如何知道我的機器是否存在漏洞?

      微軟釋出了一個處理器漏洞審計工具,具體使用方法,請在heise網站搜尋文章(Prozessor-Sicherheitslücke:So findest du heraus, ob du gegen Meltdown und Spectre geschützt bist)。


13.更新是否會影響效能?

      會影響系統效能,微軟已經做出了一個評估: 使用Intel Core i-6000系列(Skylake)系列處理器的普通使用者不應該感受到這些補丁的影響,從舊處理器到Haswell Generation Core i-4000的使用者將“感受到系統效能下降”,處理器和作業系統越老,效能下降越明顯。

      英特爾現在還發布了第一批測量報告(關注回覆“Melt-Spec”關鍵字獲取報告),當前英特爾處理器的效能可以在匯入安全補丁後降低10%。

 

14.漏洞究竟如何工作?

      heise 網上發表了詳細的分析(關注回覆“Melt-Spec”關鍵字獲取詳細分析)。

 

15.這些安全漏洞是否可以遠端使用?

      攻擊者必須在受影響的系統上執行惡意程式碼。因此,在許多嵌入式系統和路由器中這個問題是不重要的。但在網頁瀏覽器特別危險,他們可以下載和執行程式碼(如JavaScript,HTML5)。例如,惡意程式碼可以通過可疑的網站注入。相反,瀏覽器更新和指令碼攔截器(如NoScript)可以起到一定安全輔助作用。


16.我收到了聯邦資訊保安辦公室的電子郵件,要求我安裝他們開發的AMD和Intel安全補丁,我應該這樣做嗎?

      不能!這是一個精心製作的虛假郵件,郵件地址指向偽裝成安全補丁的Windows木馬的虛假網站,請及時刪除這封電子郵件。

 

      “Meltdown”和“Spectre”很可能被惡意攻擊者利用,網站和Web應用程式程式碼可用於利用此漏洞進行攻擊。這裡有一個利用JavaScript開發了“Meltdown” 和 “Spectre”的漏洞例子

0?wx_fmt=png

      以下是關於AMD,Intel和ARM CPU中瀏覽器和“Meltdown”和“Spectre”漏洞的簡要常見問題解答。

 

問:在我的瀏覽器中是否易受攻擊?
      答:是的,瀏覽網頁可以讓第三方軟體訪問瀏覽器之外的記憶體。


問:威脅是真實還是主要是理論?
      答:這個威脅是真實的, Web應用程式(如WordPress)中的漏洞由於範圍有限而更加統一,易於被利用。


問:瀏覽器廠商是否可以提供補丁程式?
      答:是的,瀏覽器供應商可以最小化被利用漏洞的可能性。例如微軟,谷歌和Mozilla已經採取措施,請及時更新瀏覽器。


問:如果我的作業系統已經打補丁,這是否也解決了的問題?
      答:是的,如果您使用的瀏覽器沒有更新修復,即使更新了Windows,macOS或Linux底層作業系統更新,整個系統的更新也會過時。


問:伺服器上執行的Node.js是否容易受到此問題的影響?
      答:是的,但由於程式碼只能在伺服器上執行,惡意的第三方無法在本地環境中執行程式碼。當然,您需要確保您的共享主機環境(雲,VPS等)是最新的。


問:是否有已經更新的作業系統或瀏覽器,直接安裝以修補“Meltdown” 和 “Spectre”漏洞?
      答:集中跟蹤更新的簡單方法是一個GitHub頁面,可以跟蹤Chrome,Firefox等瀏覽器以及Android,Windows,MacOS和iPhone等流行作業系統對iPhone和iPad的更新狀態。


問:使用隱身模式還是隱私模式可以保護我免受幽靈的攻擊?
      答:不可以,攻擊者可以繞過任何安全功能,包括Chrome,Firefox和Safari瀏覽器中的私人模式。


問:“Meltdown”和“Spectre”是否與Skyfall和Solace漏洞有關?
      答:這些漏洞有密切關係,但需要單獨修復瀏覽器,作業系統和CPU補丁才能解決漏洞風險。

 

>>>>>>>>>>>>>    推薦閱讀    <<<<<<<<<<<<<



溫馨提示:
請搜尋“ICT_Architect”“掃一掃”二維碼關注公眾號,點選原文連結閱讀作者原文。

640?wx_fmt=png

點原文連結讀原文。

0?wx_fmt=gif

相關文章