顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2018-01-13 16:32:06
看板 AntiVirus
作者 imasa (便當俠)
標題 [情報] CPU 安全漏洞: Meltdown、Spectre Q&A
時間 Fri Jan  5 16:24:35 2018



最近CPU安全漏洞的事件在硬體相關版面鬧得很大
雖然看起來跟防毒軟體無關
但隨著事件的進展防毒軟體也需要有相對應的動作了
在此列出大家會關心的 Q&A
供大家參考

只想知道對自己影響的人

Q: 這次CPU事件我個人會受影響嗎?
A: 絕大多數會,除非你不用電腦不用手機

Q: 影響範圍大嗎?
A: 個人影響較輕微、影響最大的是伺服器/雲端廠商

Q: 這漏洞會對我造成什麼問題?
A: 惡意程式能無視你電腦系統的執行權限讀出你儲存的密碼或金鑰

Q: 我該怎麼辦?
A: 下載微軟和Intel的Patch來安裝就可以了,Win10已經強制自動安裝
防毒軟體有可能要做相對應的相容性更新


想知道無技術細節內容的人

Q: 這漏洞對寫惡意程式的駭客有什麼幫助?
A: 駭客可以利用這漏洞無視你系統權限,讀取你運作中程式的記憶體資料,不管有沒有被系統保護

Q: 更新防毒軟體有用嗎
A: 問題來自底層的CPU,所以目前防毒軟體無法在這問題上使力
但還是需要更新防毒軟體以相容OS廠商所推出的更新
這裡有相對應的列表
https://goo.gl/eVdFUq
可以檢視自己的防毒軟體需不需要下載相容性更新

Q: 影響了哪些作業系統?
A: Windows, Linux, macOS, AWS, Andriod都中招

Q: 影響哪些CPU?
A: 基本上1995年以後製造的CPU都中招、主要是Intel、AMD部分受影響

Q: Windows的Patch要到哪裡下載?
A:
For Win10 版本 1709需要安裝KB4056892
https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892
For Windows 10 LTSB 2016需要安裝KB4056890
https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890
Win8.1是KB4056898
https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898
Win 7是KB4056897
https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897

Q:這Patch對我的系統做了什麼變更?
A:啟用了 Kernel Virtual Address Shadowing,即KPTI
詳細可見後面KPTI的技術原理說明

Q: 我要怎麼用方便的方法看我裝了Patch?
A: 用系統管理員權限啟動Powershell Command line
執行 Install-Module SpeculationControl
然後執行
Get-SpeculationControlSettings

下圖是執行結果
https://goo.gl/UvfCZe
[圖]
 

Q: 聽說上Patch後會有效能上的影響?
A: 會影響、但主要影響較大的是Intel 1995~2013的CPU、而且具體影響的是I/O相關的效能
   理論上個人電腦影響不大


想知道技術細節的人

要對CPU架構有一定的基礎認知
請想清楚再點此恐怖連結
http://roger6.blogspot.tw/2018/01/cpu-vulnerability-meldtown-spectre.html

另外
PTT的PC_Shopping也有對這漏洞的細節描述
https://www.ptt.cc/bbs/PC_Shopping/M.1515043262.A.E55.html
Re: [情報] Intel嚴重漏洞 OS更新將會降低效能 - 看板 PC_Shopping - 批踢踢實業坊
針對第三種,從paper的例子裡大致講一下 1 ; rcx = kernel address 2 ; rbx = probe array 3 retry: 4 mov al, byte [rcx] <--讀取kernel address
 
https://www.ptt.cc/bbs/PC_Shopping/M.1515123762.A.27C.html
Re: [情報] Intel嚴重漏洞 OS更新將會降低效能 - 看板 PC_Shopping - 批踢踢實業坊
看了三天的 paper 終於看懂 Meltdown 怎麼做到的 Spectre 太複雜看不懂沒時間懶得看所以不談 首先我預設大家都知道 instruction-level paralleism 指令層級平行, superscalar 超純量,
 

他們是比較偏硬體的闡述
有興趣的人可以閱讀


--

  貧血軟派羅傑君
    http://roger6.blogspot.tw
  熱血系列粉絲團
    http://www.facebook.com/KunioGame

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.24.158
※ 文章代碼(AID): #1QJpP8J0 (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1515140680.A.4C0.html
※ 編輯: imasa (59.120.24.158), 01/05/2018 16:41:35
alyh: OuO)/ 請問win7的KB4056894是否也是同樣的更新? 只是打包版?1F 01/05 18:30
alyh: 我的電腦只有KB4056894這項更新 我看了網頁說明應該是一樣的
alyh: 但不是很確定 所以想說問看看比較專業的人
alyh: 感謝資訊整理~
labbat: 使用Cortex A53的手機不受Meltdown影響5F 01/05 18:34
alyh: 檢查Patch那邊 我執行他都會顯示無法辨識'Install-Module'6F 01/05 18:53
alyh: 是否我弄錯了什麼...有用管理員權限執行 @@
imasa: 號碼要一樣才行阿 不同號碼就不是這更新了8F 01/05 18:57
imasa: 沒更新的話就無法使用這檢測方式
alyh: 了解 謝謝 我以為每月匯整包會包含 >"< 我再去裝更新~10F 01/05 18:58
Kreen: 感謝分享~11F 01/05 19:08
DargonD: 看了blog的解說後,有更了解許多,謝謝分享12F 01/05 20:22
sam613: patch會跟部份防毒不相同,可能造成藍螢幕當機13F 01/05 20:34
sam613: https://bit.ly/2CKbmo5
waterblue85: 沒辦法install-module的 要先開啟權限才行15F 01/05 21:40
waterblue85: 輸入:Set-ExecutionPolicy RemoteSigned
waterblue85: 原本權限不是RemoteSigned,是Restricted
alyh: 我的是Powershell版本太舊 更新後OK了~18F 01/05 21:51
CGCC: 更新完補丁 但是沒辦法檢查Patch 用一個晚上 頭好痛QQ19F 01/05 22:59
CGCC: 順便問一下Powershell 4.0不能用嗎? 要升級到5.0嗎
KevinYu0504: 很棒的整理文,推!21F 01/06 03:49
belion: 很棒的文,讚22F 01/06 04:04
Bellkna: 4056894就有包4056897了23F 01/06 07:46
dukurocute: 推 感謝說明24F 01/06 09:56
j612142321: Andriod也會中獎喔....25F 01/06 14:09
issemn: 大推!26F 01/06 15:58
cck196h: 請問更新出現0x80073715錯誤是什麼原因?27F 01/06 16:12
cck196h: 解決了,原來是重複安裝的問題
Segal: 推說明文29F 01/06 17:33
Replication: 推 這篇文讓我智商有自信了30F 01/06 17:59
llw116: 感謝分享31F 01/07 12:29
motokare: 推一個  謝謝分享!32F 01/09 14:44
z22771187: ...我也只有6894.....33F 01/12 15:40

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 191 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇