该内容翻译自微软公司发布的ADV180002安全通报。

执行摘要

微软公司注意到一个被称作“speculative execution side-channel attacks”的新公开漏洞。这个漏洞影响到了许多现代处理器和操作系统,(受影响的厂商)包括英特尔、超微半导体和ARM。对于(非微软旗下的)其他操作系统,如安卓、Chrome、IOS、MacOS,我们建议您从相关厂商获得指导帮助。
(对于微软操作系统)微软发布了几项安全更新用来帮助您缓解这些漏洞的影响,我们还采取了必要行动确保我们的云服务安全可靠,详情请见下文。
微软暂未收到任何利用这些漏洞攻击客户的报告。微软将继续与包括芯片制造商、硬件原始设备制造商和应用程序商在内的行业合作伙伴进行密切合作来保护客户。如果您要获取所有可用的保护措施,您必须进行硬件/固件和软件的更新。这些更新措施包括从硬件制造商获取的微码更新、在必要时更新您的杀毒软件到最新版本等。

此安全通告涉及到如下漏洞:
cve-2017-5753 -边界检查旁路
cve-2017-5715分支目标注射
cve-2017-5754无赖数据缓存负载

建议的行动

对于普通消费者,最好的保护措施是将使您的电脑保持最新状态,(对于操作系统)您可以使用自动更新来确保操作系统处于最新状态。除了安装2018年1月windows安全更新外,您可能还需要从设备制造商获取并安装升级版固件来获取更高的防护,关于此项内容请与设备制造商联系来获取相关更新。

如果启用(windows操作系统,下略)自动更新,windows安全更新将在2018年一月给支持的设备提供反病毒应用程序,您可以按照任意顺序安装更新。

如果您启用了Windows自动更新,则当设备和软件兼容时,我们将会向您推送此安全更新。我们建议您检查这些更新是否已安装。如果您没有启用自动更新,请手动检查并安装2018年1月Windows操作系统的安全更新。
安装OEM设备制造商提供的适用固件更新。

潜在的性能影响

在(对此补丁的)测试中微软注意到该补丁可能会对计算机性能产生影响。对于大多数消费级电子设备来说,这些影响可能不太明显,但是,不同的硬件与不同的硬件生产商受到的影响是不同的。微软将实施一些的对应的减灾策略来确保微软软件及服务的安全性。我们将继续与硬件供应商合作,力求在保持高水平安全性的同时提高(计算机)性能。

漏洞描述(翻译不准确)

投机执行侧通道漏洞可以用于读取可信边界上的内存内容,从而导致信息泄露。攻击者可以根据配置的环境触发多个漏洞。
微软一直在与硬件和软件制造商共同开发缓解措施来保护使用的微软产品与服务的客户。这些缓解措施将用来防止攻击者触发CPU内存泄露漏洞。
微软视窗客户端用户(受到的影响)
太多,自己看,略
微软视窗服务器用户(受到的影响)
同上,略
Xxx用户受(受到的影响)

FAQ

1、哪些(微软的)操作系统会受到此漏洞的威胁?

客户端操作系统:windows客户端
服务器操作系统:windows服务器

2、相关的漏洞是啥?

CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

3、有没有检测到利用此漏洞进行的主动攻击?

没有,发布这个安全警告时,微软没有收到任何(关于受到攻击的)详细报告,没有证据表明这些漏洞已经用来攻击客户。

4、这些漏洞是否已经公开披露?

对,这些漏洞在2018年1月3日在https://bugs.chromium.org/p/project-zero/issues/detail?ID = 1272被披露。(谷歌天下第一)

5、我没有收到2018年1月3日的windows安全更新推送,我该怎么办?

为了避免对用户设备产生不利影响,微软在2018年1月9日发布的Windows安全更新将仅提供给运行兼容反病毒软件的设备。更多信息请参考微软知识库第4072699条(https://support.microsoft.com/help/4072699)。

额外建议

保护您的个人电脑:我们鼓励客户遵循我们的保护计算机指南,包括使用防火墙,获得最新的软件更新,安装防病毒软件等。欲了解更多信息,请参见微软安全和安全中心。

保持微软软件更新:运行微软软件的用户应获取并安装最新的微软安全更新,以确保他们的计算机尽可能受到保护。如果您不确定您的软件是否是最新的,请访问Microsoft Update,扫描您计算机的可用的更新,并安装任何(我们)提供给您的高优先级更新。如果启用了自动更新并配置为微软产品提供更新,则更新在发布后就会推送给您,但您应该验证它们是否已安装。

致谢

Jann Horn of Google Project Zero
Paul Kocher
Moritz Lipp from Graz University of Technology
Daniel Genkin from University of Pennsylvania and University of Maryland
Daniel Gruss from Graz University of Technology
Werner Haas of Cyberus Technology GmbH
Mike Hamburg of Rambus Security Division
Stefan Mangard from Graz University of Technology
Thomas Prescher of Cyberus Technology GmbH
Michael Schwarz from Graz University of Technology
Yuval Yarom of The University of Adelaide and Data61
Additional information on the Meltdown and Spectre attacks can be found at their respective web sites.
Anders Fogh of GDATA Advanced Analytics

野兔简评

今年还真是不平静的一年啊~

我来吐槽

*

*

7位绅士参与评论

  1. 蜗壳01-08 11:00 回复

    还好,按照官方更新呗,目前一直用win10,裸奔,哈哈

  2. 橘纸柚01-05 17:44 回复

    刚想给我的辣鸡电脑换CPU来着,然后转眼看看算了(笑

    • 野兔01-06 10:44 回复

      我刚买了一套g4560,快递还在路上这些漏洞就爆出来了…早一天爆出来我就上锐龙了…哎。

  3. Doraemon!01-05 14:34 回复

    360:正在升級木馬庫...
    😆 不感到害怕。可怕的是。。某小學生來我家玩電腦怎麽辦。因爲他不和我用一個系統的嘛,不過那個系統被他搞得基本無法打開網站了。。。。某些例如4399的還可以。應該沒事 吧?

    • 野兔01-06 10:42 回复

      应该没事,不过我家公用电脑都装了还原卡

  4. 岁月小筑01-05 12:39 回复

    不管了,反正能用就行(滑稽)

  5. 熊猫小A01-05 09:05 回复

    修复后性能还会降低……牙膏厂终于翻车了233

    签到成功!签到时间:上午9:03:44,每日打卡,生活更精彩哦~

  6. 蝉时雨01-05 08:56 回复

    新年刚开始就不平静了么~~~ 好吧~ 感觉我电脑上就没中过病毒~

    • 野兔01-05 12:00 回复

      CPU硬件设计上的两个漏洞,其中一个所有x86CPU都GG,另外一个是Intel全线CPU都GG。缓解补丁的话会降低I/O性能,同时也无法从根本上修正漏洞。