马上给Meltdown和Spectre漏洞打补丁

元旦之后的第一个工作日可谓是惊喜不断，4号就传来了 Google Project Zero 等团队和个人报告的 Meltdown 和 Spectre 内核漏洞的消息，首先简单介绍一下这两个内核漏洞。

漏洞介绍

Meltdown 打破了用户应用程序和操作系统之间最基本的隔离，这种攻击允许程序访问其他程序和操作系统的内存。

Spectre 打破了不同应用程序之间的隔离，它允许攻击者欺骗遵循完美运行的程序泄露它的所有数据。事实上，完美运行的程序进行安全检查实际上会增加攻击面，并可能使应用程序更容易受到 Spectre 的影响。

影响范围

哪些系统受到 Meltdown 的影响？

台式机，笔记本电脑，云服务器都可能会受到 Meltdown 的影响。从技术上讲，每个使用英特尔处理器的机器都可能受到影响，目前只是成功在2011年发布的英特尔处理器上测试了 Meltdown，还不清楚 ARM 和 AMD 处理器是否也受到影响。

哪些系统受到 Spectre 的影响？

台式机，笔记本电脑，云服务器以及智能手机都可能会受到 Spectre 的影响。更具体地说，能够保持许多指令在飞行中的所有现代处理器都可能是脆弱的。特别是，我们在Intel，AMD和ARM处理器上验证了Spectre。

哪家云提供商受到 Meltdown 的影响？

使用 Intel CPU 和没有补丁的 Xen PV 作为虚拟化的云提供商将会受到影响。

举个例子给Windows2012 R2打补丁的步骤：

去微软的官方补丁下载中心，搜索4056898，然后就可以download下载了

http://www.catalog.update.microsoft.com/home.aspx

你问我怎么知道这个补丁号码的？请欣赏这篇大文

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

其他系统怎么办？这里再推荐几个网址 《CVE--通用漏洞与披露》

http://www.cve.mitre.org/

http://cve.scap.org.cn/