freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【最新进展】芯片漏洞后续:苹果发布Spectre漏洞修复补丁;微软补丁导致系统变砖已紧急撤回;英特尔...
2018-01-09 18:30:31

Meltdown 与 Spectre 漏洞曝出之后,各大厂商都在紧急响应。目前事态还在进展,本文送上今天份的更新。

苹果发布 Spectre 漏洞修复补丁

苹果今天发布了安全更新,修复苹果设备(智能手机、平板电脑和台式电脑)处理器中的 Spectre 漏洞(CVE-2017-5753和CVE-2017-5715)。

此次安全更新主要包括 macOS High Sierra 10.13.2 版本,iOS 11.2.2 版本和 Safari 11.0.2 版本,主要都是针对 Spectre 的修复更新,在此前苹果的更新公告中也说明了这一点

而关于 Meltdown 漏洞(CVE-2017-5753)的修复补丁,前几天苹果已经发布 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 作为升级更新。

提醒相关用户尽快进行今天的更新,因为 Meltdown 只影响英特尔芯片,而 Spectre 则影响 Intel、AMD 和 ARM 处理器,还可以通过隐藏在网页上的 JavaScript 代码进行远程利用。

Spectre.png

Linux,微软,Mozilla,思科等许多硬件和软件供应商都发布了更新和修复方案。FreeBuf 也报道了很多,读者可以在以下文章中找到对应的内容:

及时更新浏览器,Mozilla确认Meltdown和Spectre可通过Web进行漏洞利用

Windows用户详细自查修复篇:微软紧急更新修复Meltdown和Spectre CPU漏洞

苹果确认Meltdown和Spectre漏洞影响所有Mac和iOS设备,现已发放部分补丁

谷歌的“Spectre攻击”修补方案Retpoline,可避免性能影响

微软补丁导致系统变砖,将紧急撤回

Meltdown 和 Spectre 漏洞爆出后,微软很快就发布了修复补丁。但是许多用户表示专门修复 Meltdown 和 Spectre 的 Windows KB4056892 安全更新版本导致 AMD Athlon 驱动的计算机崩溃。

在微软官网的用户反馈页面很多用户都表示安装 Windows  KB4056892 更新后,电脑崩溃,只在页面上显示 Windows 启动 logo。

有用户表示:

我有个版本比较旧的 AMD Athlon 64 X2 6000+,华硕 MB 电脑。在安装了 KB4056892 之后,系统无法启动,只能显示没有动画效果的 Windows logo。 好几次启动失败后,页面回滚,然后显示 0x800f0845 错误。 不幸的是,在没有进行 gpedit 调整的情况下很难禁用自动更新,所以系统会反复安装并回滚更新。 

补丁安装完成后,Athlon 驱动的系统停止工作,重点是修复程序并没有创建恢复点,在某些情况下甚至不能恢复回滚。还有一些用户报告说,即使重新安装 Windows 10 版本也没办法解决问题。

针对这一情况,用户最好禁用 Windows Update。但是 AMD 用户面临的问题最终还是需要微软来解决。

截至  月 9 日中午,微软尚未对该页面上的问题反馈作出任何回应。

1 月 9 日下午,微软正式确认补丁存在兼容性问题,现将紧急撤回。目前,微软已经停止了9个补丁向AMD平台的分发工作(主要是Win10的KB4056892和Win7的KB4056894),正和AMD一道联手解决。

Reddit 网友 zip369 贡献了 Win7 用户的解决方法

自检之后按F8,进入修复计算机,选择命令提示符,输入以下命令:

dir d:
dism /image:d:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~7601.24002.1.4 /norestart

AMD.jpg

虽然许多专家认为修复漏洞将对设备的性能产生重大影响,但英特尔却极力证实:苹果、亚马逊、谷歌和微软等巨头都进行了广泛测试,评估了安全更新对系统性能的影响,结果表明没有什么不良影响。但是这次,微软的 Windows KB4056892 安全更新补丁导致一些加载 AMD 处理器的个人电脑(尤其是 Athlon 驱动的电脑)崩溃,似乎打了英特尔的脸。

研究人员认为,这两个漏洞还将给用户和芯片供应商带来更多麻烦。

英特尔惹上官司

尽管 Meltdown 和 Spectre 不仅影响 Intel 处理器,还波及 AMD 和 ARM 的 CPU,但英特尔受到的打击毫无疑问最为惨重。最初消息曝出时,英特尔的股价都下降了不少

由于 Meltdown 和 Spectre 造成的恶劣影响,目前英特尔已经接到了至少三起集体诉讼,分别来自加州北部地区、印第安纳州南部地区以及俄勒冈州地区。诉讼指控英特尔违反国家消费者保护法。所有诉讼都需要进行陪审团审判。

来自 Nashville 的 Branstetter,Stranch&Jennings 和来自圣地亚哥的 Doyle APC 以消费者欺诈罪起诉了英特尔,指控其销售具有“致命”安全漏洞的产品,误导消费者相信其处理器的性能和可靠性。

在印第安纳州提起的诉讼称,“英特尔声称其处理器具有高性能,特质和优点明显,但其实他们很清楚自己的产品并没有达到这些标准。因此,他们存在不公平竞争和欺骗行为”。此外,英特尔在加工制造和设计环节也存在疏忽。还有人指控英特尔销售有漏洞的 CPU,却不愿意维修或免费更换,违反了担保条例

俄勒冈州的原告则表示,由于英特尔“知道却故意不披露重大漏洞”,他们有权以此向英特尔索赔。因为如果他们提前知道英特尔芯片的漏洞,并且知道修复后产品性能会受到影响,那么他们就不会使用英特尔芯片,而是选择其他芯片。

英特尔.png

据说这两个漏洞甚至可以追溯到 20 年前。有人认为,英特尔应当召回受影响的 CPU。但英特尔却表示,因为软件层面的问题可以解决,因此不会召回 CPU。

就算有很多人担心补丁会影响设备性能,就算微软打了英特尔的脸,但英特尔依然表示大多数消费者不会遇到任何问题,并且相信随着时间的推移,不良影响以及他们受到的指摘都会减轻

emmmmmmm~

*参考来源:bleepingcomputerSecurityAffairsSecurityWeek,AngelaY 编译整理,转载请注明来自 FreeBuf.COM

# Meltdown # Spectre # CPU漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者