freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

芯片漏洞新进展:英特尔公布补丁对性能影响的测试结果;Meltdown的POC在Github上公开;N...
2018-01-11 18:37:07

Meltdown 和Spectre 漏洞事件仍在发酵,本文送上今天份的更新。更多内容可进入 FreeBuf 的“芯片底层漏洞”专题查看。

NVIDIA 更新 GPU 驱动以应对漏洞

NVIDIA.jpg

近日,NVIDIA 发布其 GPU 显示驱动和其他产品的更新,以帮助解决 CPU 中 Meltdown 和Spectre 漏洞带来的问题。

这两个漏洞爆出后不久,NVIDIA 公司就宣称其 GPU 硬件可以“免疫”,不受攻击。但是与高通类似,NVIDIA 有一些芯片系统(SoC)产品依赖于 ARM 的 CPU,因此他们也承诺会更新 GPU,来解决 CPU 可能遇到的问题。周二,NVIDIA 向客户通报 GPU 显示驱动程序已经更新,更新内容包括针对 Specter 漏洞(特别是 CVE-2017-5753)的缓解措施。目前,NVIDIA 仍在确认 Specter 的第二个漏洞 CVE-2017-5715 是否会影响其 GPU 驱动程序。可以确定的是,尚未有迹象表明 GPU 驱动程序受到 Meltdown 漏洞(CVE-2017-5754)的影响。

NVIDIA 已经为 Windows 和 Linux 版本的 GeForce、Quadro 和 NVS 显卡提供了显示驱动程序更新。而在 Tesla GPU 中,仅针对 R384 分支提供了更新,R390 的更新预计将在 1 月 22 日那周提供。关于GRID 虚拟 GPU 解决方案更新预计要到月底才能完成。

此外,NVIDIA 还发布了基于 Android 的 Shield TV 媒体播放器Shield Tablet 以及围绕 Tegra 移动处理器构建的 Jetson 嵌入式系统的更新。其中,只有 Jetson TX2 更新包含所有三个 CPU 漏洞的修复措施,而其他更新仅针对 CVE-2017-5753 以及部分情况下的 CVE-2017-5715(即 Specter 漏洞之一)进行修复。

之前我们报道过补丁带来性能下降的问题,不过 NVIDIA 目前没有提供与此相关的信息。

IBM 开始发放补丁,预计 2 月底全面修复

IBM.jpg

IBM已经开始发布其 POWER 处理器的固件补丁,以修复 Meltdown 和 Spectre 漏洞,此外,IBM 还将针对自己的操作系统(AIX和IBM i)进行更新,但预计下个月(2 月 12 日左右)才能发布补丁。

1 月 4 日漏洞曝出后,IBM 就告知用户已经开始分析漏洞对其产品的影响。本周二,IBM 表示其 POWER 处理器受到影响,客户只有安装固件和操作系统补丁,才能让 Power Systems 服务器系列产品避免攻击。不过,IBM 的存储设备不受这些漏洞的影响。

目前 IBM 发布了 POWER7 + 和 POWER8 处理器的固件补丁,预计到 1 月 15 日,补丁可用于 POWER9 系统。早期产品的用户也依然受到支持,晚一些会收到相关固件更新。如果用户的设备运行 Linux 系统,可以从各自的供应商处获取操作系统补丁。RedHat、SUSE 和 Canonical 已经发布了修复程序。与 NVIDIA 一样,IBM 也没有提及任何有关性能影响的内容。

IBM 表示:“如果这个漏洞对用户的计算机环境构成风险,那么可以采取的第一个防护措施其实是大多数组织已经拥有的防火墙和安全工具。

相关补丁导致 Ubuntu 16.04 版本出现 boot 问题

Ubuntu-Meltdown-Spectre.png

最近,有 Ubuntu Xenial 16.04 的用户表示,打了 Meltdown 和 Spectre 补丁之后,系统无法启动,并被迫回滚到早期的 Linux 内核镜像。

Canonical 公司于 1 月 9 日发布了 Linux 内核镜像 4.4.0-108,加入到 Ubuntu Xenial 16.04 用户安全更新版本中,用以应对 Meltdown 和 Spectre 漏洞。在 Ubuntu 安全通告 USN-3522-1 页面和 Ubuntu Wiki 页面都能看到相关更新。

结果,大量用户在 Ubuntu 论坛、Ubuntu 的 Launchpad 错误跟踪器和 Reddit 线程中报告更新之后出现问题。所有报告问题的用户都表示,升级到 Ubuntu 16.04(内核映像 4.4.0-108)后系统无法启动。目前显示,只有运行 Xenial 16.04 系列的 Ubuntu 用户才会受到影响。

今天早上刚刚更新了4.4.0-108的通用版本,启动失败。

是的 ,这里也一样。更新之后启动屏幕被锁定了。

Canonical发言人对此问题没有正面回应,但在几小时前发布了 Linux kernel kernel 4.4.0-109 的两个新的 Ubuntu 16.04 更新[12]。有用户表示新的内核更新比较正常,没有出现问题。对于那些受影响的用户而言,回滚到内核映像 4.4.0-104 也可以解决 boot 问题。

Meltdown 的 POC 在 Github 上公开

安全研究人员在 GitHub 上公开了利用 Meltdown 漏洞的 POC。Meltdown 影响英特尔的现代处理器,无法只靠微码更新修复,主要操作系统都已经发布了减少漏洞影响的补丁。POC 包含五个 Demo,演示了不同实例,主要演示平台是 Ubuntu 16.04 和 Core i7-6700K,但在使用 2010 年之后版本英特尔处理器的任何 Linux 系统上都能实现。

以下是 POC 的五个演示视频:

1、Meltdown 可用于监视实时密码输入过程


看不到?点这里 

2、Meltdown 可泄露物理内存内容

看不到?点这里 

3、 Meltdown 可从内存中重构图片

看不到?点这里 

4、 Meltdown从内存中重构使用FLIF加密的图片

看不到?点这里 

5、Meltdown 可泄露未缓存的内存

看不到?点这里 

英特尔公布补丁对性能影响的测试结果

11 日,英特尔公布了有关第六、七和八代英特尔酷睿处理器平台(使用Windows* 10)的几个数据。依然坚称对于大部分普通电脑用户来说,性能的影响并不显著。

重点内容如下:

对于配备固态存储设备的第八代酷睿平台(Kaby Lake、Coffee Lake),防御措施对性能的影响很小。在各种工作负载上(包括 SYSMark2014SE 基准测试中代表性的办公软件和媒体软件),预计影响不到6%。不过,在特定情况下,用户可能受到更大影响。例如,使用涉及复杂的JavaScript操作的Web应用的用户可能受到更大影响(初步测试表明,最高可达10%)。游戏等图形密集型工作负载或财务分析等计算密集型工作负载受到的影响最低。

测试表明,第七代 Kaby Lake-H 高性能移动平台受到的影响与第八代平台相似(在SYSMark2014SE基准测试中大约为7%)。

第六代Skylake-S平台性能所受影响稍高,但与第八代、第七代平台所受影响仍然大体上一致(在SYSMark2014SE基准测试中大约为8%)。此外,在使用 Windows 7 在相同平台上也做了性能测试。测试观察到的影响很小(在 SYSMark2014SE 基准测试中大约为 6%),甚至低于配备硬盘的系统。

英特尔表示将尽快收集、公布有关更多使用场景以及更多英特尔平台的信息。在接下来的一周内,计划针对过去五年推出的移动和桌面平台,提供具有代表性的数据。

除了目前针对客户已有产品所做的工作,还将努力升级未来产品中的技术,以尽全力保障安全、提高性能。

*参考来源:SecurityWeek[1, 2],bleepingcomputer英特尔官网声明,AngelaY 编译整理,转载请注明来自 FreeBuf.COM。

# Meltdown # Spectre # 芯片漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者