AMD和微软发布针对Spectre漏洞的微代码和操作系统更新程序

x
用微信扫描二维码
分享至好友和朋友圈

  

  

  本周二,微软和AMD共同发布了针对“Spectre”(幽灵)漏洞的微代码和安全更新程序。

  
漏洞情况

  “Spectre”(幽灵)和“Meltdown”(熔断)漏洞对处理器(CPU)行业的影响可谓是空前的,Intel、AMD、ARM等处理器供应商以及Windows、Linux等操作系统均受到深浅不一地影响。攻击者可以利用“Spectre”和“Meltdown”攻击绕过内存隔离机制并访问目标设备敏感数据。其中“Meltdown”攻击还可能允许攻击者读取目标设备的全部物理内存,并窃取凭据和个人隐私信息等内容。

  Meltdown可以利用预测执行(speculative execution,即一个用于执行未明指令流的区域)来打破用户应用程序和操作系统之间最基本的隔离,如此一来,就允许任何应用程序访问其他程序和操作系统的内存,从而读取敏感私密的信息。该漏洞“熔断”了由硬件来实现的安全边界,允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。

  Spectre则是破坏了不同应用程序之间的隔离,允许用户模式(user-mode)应用程序从运行在同一系统上的其他进程中提取信息。此外,它也可以被用来通过代码从自己的进程中提取信息,例如,恶意JavaScript可以用来从浏览器的内存中为其他网站提取登录cookie。

  此外,Meltdown攻击还触发了CVE-2017-5754漏洞,而Specter攻击则触发了CVE-2017-5753(变种1)和CVE-2017-5715(变种2)漏洞。据专家介绍,只有Meltdown和Specter V1可以通过软件来解决,而Spectre V2则需要更新受影响处理器的微代码才能解决。

  
更新发布情况

  据悉,Intel已经完成了对过去五年处理器产品中的Specter V1漏洞的修复工作,而针对Specter V2漏洞,Intel处理器将在未来进行硬件层面的重新设计来实现免疫,首批产品是下一代Xeon Cascade Lake和下半年即将发布的第八代酷睿新系列。

  而AMD方面也于本周二发布了针对Specter V2攻击的补丁程序,其中包括微代码和操作系统更新。AMD公司在其发布的最新通报中指出,

  

  今天,我们正式为微软Windows用户提供了关于Specter V2的补丁程序。这些缓解措施要求AMD CPU用户既要升级来自OEM和主板厂商的微代码更新,也需要将Windows升级至最新版本。对于Linux 用户,AMD推荐的Specter V2缓解措施已经提供给我们的Linux合作伙伴,并已于今年早些时候发布。

  

  微软最初在1月份发布了针对基于AMD系统的Spectre安全补丁,但由于不稳定问题,微软被迫暂停了补丁发放。

  AMD专家在其发布的公告中表示,

  

  虽然我们认为在AMD处理器上利用Spectre V2相当有难度,但是,为了进一步降低安全风险,我们仍然选择积极地与合作伙伴合作,为AMD处理器提供微代码和操作系统更新的组合。

  

  AMD用户可以通过下载制造商提供的BIOS更新来安装微代码,而Windows 10更新程序也已经在微软四月份的“周二补丁日”正式释放。微软本周二发布的Windows 10更新中包括针对AMD设备的Spectre V2缓解措施。另外,AMD称,针对Windows Server 2016的修补程序则正在进行最后的测试,预计很快就会正式向使用者推送。

  

  

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 2 参与 102
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

嘶吼RoarTalk

不一样的互联网安全新视界

头像

嘶吼RoarTalk

不一样的互联网安全新视界

3228

篇文章

6987

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码