AMD和微软发布针对Spectre漏洞的微代码和操作系统更新程序

x
用微信扫描二维码
分享至好友和朋友圈

  

  

  本周二,微软和AMD共同发布了针对“Spectre”(幽灵)漏洞的微代码和安全更新程序。

  
漏洞情况

  “Spectre”(幽灵)和“Meltdown”(熔断)漏洞对处理器(CPU)行业的影响可谓是空前的,Intel、AMD、ARM等处理器供应商以及Windows、Linux等操作系统均受到深浅不一地影响。攻击者可以利用“Spectre”和“Meltdown”攻击绕过内存隔离机制并访问目标设备敏感数据。其中“Meltdown”攻击还可能允许攻击者读取目标设备的全部物理内存,并窃取凭据和个人隐私信息等内容。

  Meltdown可以利用预测执行(speculative execution,即一个用于执行未明指令流的区域)来打破用户应用程序和操作系统之间最基本的隔离,如此一来,就允许任何应用程序访问其他程序和操作系统的内存,从而读取敏感私密的信息。该漏洞“熔断”了由硬件来实现的安全边界,允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。

  Spectre则是破坏了不同应用程序之间的隔离,允许用户模式(user-mode)应用程序从运行在同一系统上的其他进程中提取信息。此外,它也可以被用来通过代码从自己的进程中提取信息,例如,恶意JavaScript可以用来从浏览器的内存中为其他网站提取登录cookie。

  此外,Meltdown攻击还触发了CVE-2017-5754漏洞,而Specter攻击则触发了CVE-2017-5753(变种1)和CVE-2017-5715(变种2)漏洞。据专家介绍,只有Meltdown和Specter V1可以通过软件来解决,而Spectre V2则需要更新受影响处理器的微代码才能解决。

  
更新发布情况

  据悉,Intel已经完成了对过去五年处理器产品中的Specter V1漏洞的修复工作,而针对Specter V2漏洞,Intel处理器将在未来进行硬件层面的重新设计来实现免疫,首批产品是下一代Xeon Cascade Lake和下半年即将发布的第八代酷睿新系列。

  而AMD方面也于本周二发布了针对Specter V2攻击的补丁程序,其中包括微代码和操作系统更新。AMD公司在其发布的最新通报中指出,

  

  今天,我们正式为微软Windows用户提供了关于Specter V2的补丁程序。这些缓解措施要求AMD CPU用户既要升级来自OEM和主板厂商的微代码更新,也需要将Windows升级至最新版本。对于Linux 用户,AMD推荐的Specter V2缓解措施已经提供给我们的Linux合作伙伴,并已于今年早些时候发布。

  

  微软最初在1月份发布了针对基于AMD系统的Spectre安全补丁,但由于不稳定问题,微软被迫暂停了补丁发放。

  AMD专家在其发布的公告中表示,

  

  虽然我们认为在AMD处理器上利用Spectre V2相当有难度,但是,为了进一步降低安全风险,我们仍然选择积极地与合作伙伴合作,为AMD处理器提供微代码和操作系统更新的组合。

  

  AMD用户可以通过下载制造商提供的BIOS更新来安装微代码,而Windows 10更新程序也已经在微软四月份的“周二补丁日”正式释放。微软本周二发布的Windows 10更新中包括针对AMD设备的Spectre V2缓解措施。另外,AMD称,针对Windows Server 2016的修补程序则正在进行最后的测试,预计很快就会正式向使用者推送。

  

  

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

跟贴 跟贴 2 参与 102
推荐
资讯
财经
科技
娱乐
游戏
搞笑
汽车
历史
生活
更多
二次元
军事
教育
健身
健康
家居
故事
房产
宠物
旅游
时尚
美食
育儿
情感
人文
数码
三农
艺术
职场
体育
星座
© 1997-2020 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 侵权投诉 Reporting Infringements | 不良信息举报

嘶吼RoarTalk

不一样的互联网安全新视界

头像

嘶吼RoarTalk

不一样的互联网安全新视界

4027

篇文章

8008

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码