Re: [情报] Intel严重漏洞 OS更新将会降低效能

楼主: YuQilin (神兽)   2018-01-05 09:45:26
昨晚开始微软陆续对WIN7、WIN8、WIN10等各版本的作业系统
推送Meltdown修补程式,
如果你的Windows更新迟迟没有收到更新通知,
有可能是因为修补程式和系统上的防毒软件不相容,
为了避免引发系统当机蓝屏所以被延迟了推送,
Kevin Beaumont制作了一个表格列出目前已知
相容和不相容Meltdown修补程式的防毒软件
https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0
https://goo.gl/tdzLwa
相容
Kaspersky, ESET, Avast, Symantec/Norton, F-Secure, Windows Defender
不相容
Sophos, Trend Micro, McAfee, Bitdefender, Webroot
需等待防毒软件推出相容性修正后才能更新
其他软硬件和服务商目前的对策:
AMD: 官方表示目前揭露的三种攻击
1. Bounds Check Bypass (CVE-2017-5753)
可由软件/OS更新来解决,对效能影响极小
2. Branch Target Injection (CVE-2017-5715 也就是Spectre)
由于架构的不同,AMD"相信"受到这个攻击而泄漏资料的风险趋近0
3. Rogue Data Cache Load (CVE-2017-5754 也就是Meltdown)
AMD表示完全免疫Meltdown
https://www.amd.com/en/corporate/speculative-execution
Intel: 不是只有我,大家都有问题
Recent reports that these exploits are caused by a “bug” or a “flaw”
and are unique to Intel products are incorrect.
Based on the analysis to date, many types of computing devices
— with many different vendors’ processors and operating systems
— are susceptible to these exploits.
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
ARM: 受影响的处理器列表
https://developer.arm.com/support/security-update
Android: Google的装置已在1月2号推送安全性更新,
其他厂商需等待厂商推送更新
macOS: 苹果目前还没有官方说明,不过根据Alex Ionescu表示,
Sierra 10.13.2已在12月3号的时候修补了这个问题
https://twitter.com/aionescu/status/948609809540046849
iOS: 目前还没有官方说明
Linux: 开发人员已经为此工作了好几个月,
许多发行版已经修补了这个问题
Chrome OS: 已在12月15号的v63修补
Google Chrome 浏览器: 将会在1月23号发行的v64修补这个问题,
在这之前,Google建议使用者打开v63的Strict Site Isolation功能,
不过开启这个功能会增加Chrome使用的内存
Mozilla Firefox: 已推送57.0.4版本更新缓解
Apple Safari: 目前没有说明
Amazon AWS:
https://aws.amazon.com/tw/security/security-bulletins/AWS-2018-013/
Microsoft Azure:
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
VMware: 官方列出受到影响的版本以及更新修补程式
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Nvidia: 官方的声明指出,"相信"自家的GPU免疫上述的漏洞,
同时会更新驱动帮助缓解CPU的安全性问题。
来源
https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/
https://goo.gl/ScfMbQ
https://www.tomsguide.com/us/meltdown-spectre-fixes,news-26326.html
https://goo.gl/6fydnw
作者: twosheep0603 (两羊)   2018-01-05 10:13:00
我对"相信"这件事持保留态度
作者: purplvampire (阿修雷)   2018-01-05 10:45:00
推懒人包
作者: DANTEINFERNO (DANTE)   2018-01-05 10:56:00
BD很废 可以把这句话po在防毒版看看ww
作者: purplvampire (阿修雷)   2018-01-05 11:07:00
趋势在去年7月Gartner魔力象限中排名世界第一,屌打卡车跟BD耶
作者: violetflames   2018-01-05 12:46:00
竟然没有comodo……

Links booklink

Contact Us: admin [ a t ] ucptt.com