ARM漏洞
Google安全团队Project Zero公布了多个高危漏洞,称这些漏洞几乎影响到了市面上所有的微处理器,AMD、ARM还是英特尔的处理器都难以幸免,围绕这些处理器打造的操作系统和硬件设备也会受到影响。
严重程度最高,内核等级的漏洞,NGA展示了如何通过这个来获取密码,基本上所有服务器、云服务平台都要考虑这个安全性问题。Google安全研究队伍爆出来这个问题
需要打PTI补丁修复,影响性能,这就有人说最高降低30%性能的根源,但这个性能降低要看不同应用,但是一定会有下降,也不仅仅只有30%降幅,特定应用有50%降幅。
Spectre:
严重程度稍低,所有高性能处理器都可能有这个问题,用于窃取其他应用的内存信息,很难定位,也很难修复,但攻击方式也很麻烦,攻击手段的实用性也很难说明,可以系统打补丁修复,也可以应用程序自己修复。有两种攻击手段,对应有两种修复方式:
1.打补丁,不会影响性能,但是系统出不出补丁,能不能定位这个漏洞,那是软件厂商的事情。AMD表示等补丁,且不影响性能,Intel表示无可奉告。
2.AMD说不好意思这种攻击方式对他们处理器无效,Intel表示无可奉告。
A75中招Meltdown
以上搬运CHH以及NGA
Intel官方回应称,他们和相关科技公司已经完全了解到了安全漏洞的工作机制,如果被恶意理用,有可能会造成信息数据泄露,但是绝没有修改、删除和导致系统崩溃的可能。
第二点,关于该漏洞仅仅是Intel x86-64处理器的一个设计BUG或者说缺点,Intel认为报道有误。他们指出AMD/ARM的服务器系统事实上也受到波及,大伙儿正紧密配合,研究出最彻底的应对之策。
第三点,所谓的打上补丁后性能损失30%~35%。Intel强调,性能问题是与工作负载强关联的,不能一概而论。事实上,就每个用户而言,不会有显著影响,而且(即便性能削弱)也会随时间减轻。
Intel强调,他们已经开始提供软件和固件更新。本来都和微软、谷歌等企业商量好了,下周公开这一漏洞并同时给出解决方案,结果TheReg率先踢爆,同时各种所谓“Intel隐瞒不报、偷着修复”“性能大损失”“Intel x86设计十年大BUG”的报道出现,让他们不得不提前站出来,以正视听。
Intel最后说,他们的产品是世界上最安全的,同时,希望用户能及时跟进系统层面、芯片层面的更新,确保一直被保护。
最后简单一提,所谓事情的起源Intel的CPU架构(近十年的产品都涉及)被发现核心内存泄漏,有可能让恶意脚本直接读取核心内存,拿走敏感信息。同时,外部研究者称,Intel无法通过BIOS更新修复,Linux内核甚至Windows NT都要跟着填坑才行。