[CNBETA]Intel CPU底层漏洞事件完全详解:全球手机/电脑无一幸免[转帖]
http://www.cnbeta.com/articles/tech/685897.htm
由Intel CPU漏洞问题衍生出来的安全事件已经波及全球几乎所有的手机、电脑、云计算产品,ARM确认 Cortex-A架构中招,AMD表示从目前的研究来看,他们受影响最小,可视为零风险。不过,今晨,《福布斯》、WMPU等撰文对此次事件进行了一次详细的披露和解释,整理如下——
1、哪些系统受影响?
Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。
2、除了Intel处理器,还波及哪些硬件?
ARM的Cortex-A架构和AMD处理器。Cortex-A目前广泛用于手机SoC平台,包括高通、联发科、三星等等。
虽然AMD称基于谷歌研究的三种攻击方式,自己的处理器基本免疫。但Spectre(幽灵)漏洞的联合发现者Daniel Gruss(奥地利格拉茨技术大学)称,他基于AMD处理器的Spectre代码攻击模拟相当成功,绝不能低估。
3、如何修复?
Intel建议关注后续的芯片组更新、主板BIOS更新,但首先,应该把OS级别的补丁打上。
对于Meltdown漏洞:Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复,Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892,将强制自动安装。
亚马逊也公布了指导方案。
对于难度更高的Spectre漏洞,目前仍在攻坚。
4、Windows 7/XP受影响不?
微软承诺,将在下一个补丁日帮助Win7修复,但是否惠及XP没提。
5、打补丁性能受到影响?
研究者Gruss称对此,他无法给出确切结论,但从Intel声明的措辞中可以确认会有性能损失。
福布斯称,性能影响较大的是Intel 1995年到2013年的老处理器,最高可达50%,从Skylake这一代之后就几乎察觉不到了。
6、那么这些漏洞造成什么损失了?
由于两个漏洞都是越级访问系统级内存,所以可能会造成受保护的密码、敏感信息泄露。
但福布斯了解到,目前,尚未有任何一起真实世界攻击,所有的推演都来自于本地代码模拟。
所以,看似很严重但其实也可以理解为一次安全研究的胜利。研究者称,漏洞要在个人电脑上激活需要依附与具体的进程等,比如通过钓鱼软件等方式植入。
7、杀毒软件有效吗?
可结合第6条来理解,真实世界攻击中,杀软的二进制文件比对法可能会提前发现,但尚无定论。
[CNBETA]Intel CPU底层漏洞事件完全详解:全球手机/电脑无一幸免[转帖]的更多相关文章
- jQuery 事件用法详解
jQuery 事件用法详解 目录 简介 实现原理 事件操作 绑定事件 解除事件 触发事件 事件委托 事件操作进阶 阻止默认事件 阻止事件传播 阻止事件向后执行 命名空间 自定义事件 事件队列 jque ...
- cocos2dx+lua注册事件函数详解
coocs2dx 版本 3.1.1 registerScriptTouchHandler 注册触屏事件 registerScriptTapHandler 注册点击事件 registerScriptHa ...
- cocos2dx+lua注册事件函数详解 事件
coocs2dx 版本 3.1.1 registerScriptTouchHandler 注册触屏事件 registerScriptTapHandler ...
- (转载)【cocos2dx 3.x Lua] 注册事件函数详解
出处: http://www.2cto.com/kf/201409/338235.html coocs2dx 版本 3.1.1 registerScriptTouchHandler 注册触屏事件 re ...
- 委托与事件代码详解与(Object sender,EventArgs e)详解
委托与事件代码详解 using System;using System.Collections.Generic;using System.Text; namespace @Delegate //自定义 ...
- 【转】关于cocos2dx+lua注册事件函数详解
转载:http://www.taikr.com/article/1605 registerScriptTouchHandler 注册触屏事件registerScriptTapHandler注册点击事件 ...
- Kubernetes K8S之CPU和内存资源限制详解
Kubernetes K8S之CPU和内存资源限制详解 Pod资源限制 备注:CPU单位换算:100m CPU,100 milliCPU 和 0.1 CPU 都相同:精度不能超过 1m.1000m C ...
- 腾讯技术分享:GIF动图技术详解及手机QQ动态表情压缩技术实践
本文来自腾讯前端开发工程师“ wendygogogo”的技术分享,作者自评:“在Web前端摸爬滚打的码农一枚,对技术充满热情的菜鸟,致力为手Q的建设添砖加瓦.” 1.GIF格式的历史 GIF ( Gr ...
- Android系统输入事件分发详解
什么是输入事件? 我们知道,运行android系统的设备本质上是一台计算机,使用者在和计算机进行交互的时候可以抽象成简单的对计算机的输入和输出(IO).那么对于运行在计算机上的操作系统来说,操作系统在 ...
随机推荐
- 关于html的a标签的target="__blank "的安全漏洞问题
使用场景:最近项目中使用一个a标签的 target="__blank "链接跳转 页面,打开一个新的 pdf文件(或者外部的一个网页),然后在chrome浏览器中快速的滑动的时候, ...
- MongoDB数据库中更新与删除数据
MongoDB数据库中更新与删除数据 在MongoDB数据库中,可以使用Collection对象的update方法更新集合中的数据文档.使用方法如下所示: collection.update(sele ...
- Vue2 第一天学习
个人小总结:1年多没有写博客,感觉很多知识点生疏了,虽然工作上能解决问题,但是当别人问到某个知识点的时候,还是迷迷糊糊的,所以坚持写博客是硬道理的,因为大脑不可能把所有的知识点记住,有可能某一天忘了, ...
- Objective-C weak深入理解
1.weak是弱引用,所引用的对象计数不会加1. 2.weak变量在其引用的对象被销毁之后,会被置为nil. 3.weak通常用于block, delegate, NSTimer,以解决循环引用带来的 ...
- 上传文件,不依赖 Jquery flash 插件,用到HTML5 input 新属性实现过滤文件格式、同时上传多个文件
1.样式 2.js 3.后台处理 4.效果图 一.样式 <style> .divUpload { position: relative; } .divUploadFirst { width ...
- 【Codeforces 1106E】 Lunar New Year and Red Envelopes
Codeforces 1106 E 题意:有\(k\)个红包,第\(i\)个红包可以在\(s_i\)到\(t_i\)的时间内抢,同时获得\(w_i\)的钱,但是抢完以后一直到\(d_i\)都不可以继续 ...
- Daily Sentence(英语每日一句)
1.When you want to give up, remember why you started. 当你想要放弃的时候,请记住当初你为何而开始. 2.It does not do to dwe ...
- python:python之禅
最近在学python,今晚看了一个名叫“python全栈之路系列”的关于python的相关博客,其中开篇就说到了python的设计哲学:优雅,简洁... 可以在编译器里面输入如下语句来查看python ...
- arp绑定IP
0.拓扑图 1. 现象:for i in `seq 1 20` ;do sleep 1|telnet www.baidu.com 80 ;done 速度有很明显的卡顿 2.操作:用tcpdump ...
- ShellExecute使用详解
ShellExecute命令 ⑴ 函数原型: HINSTANCE ShellExecute(HWND hwnd, LPCTSTR lpOperation, LPCTSTR lpFile, LPCTST ...