需要知道的 Meltdown 和 Spectre 漏洞利用:影响几乎所有 CPUs

2018-01-05 10:34:10 +08:00
 qipo

https://www.anandtech.com/show/12214/understanding-meltdown-and-spectre

简单总结:

  1. 漏洞来自“ Speculative execution ”前瞻执行技术,这是在 CPU 上应用很广的一项基础技术。

  2. Meltdown 比较紧急,受影响的主要是 intel 一代酷睿以来所有 CPU,也影响部分基于 ARM 的 CPU,AMD 的 CPU 不受影响。

  3. Spectre 相比 Meltdown 影响更广,几乎所有现代 CPU 都受影响,包括 Intel, AMD, ARM 和 POWER。Spectre 比较复杂,是前瞻执行技术的基础问题(以前不知道),比较不好理解,也更难被黑客利用,但同时更难以解决。

  4. 漏洞攻击是本地的,read-only 的,对共享主机威胁最大。

  5. 漏洞是硬件漏洞,可以通过 CPU 微码更新和操作系统更新解决,但需要时间。

  6. 修补漏洞会带来性能下降。但下降的幅度不清楚。可以知道的是内核和用户态的上下文切换会消耗更多资源,频繁 io 的服务器受影响更大。

  7. 这是 Intel 难过的一周。对 AMD 是个还不错的消息。朋友,你听说过皓龙吗?

  8. 目前不知道的:何时漏洞可以修补好;性能下降程度;和 Spectre 类似的漏洞还有多少; Spectre 可以修补得多好(有研究者认为微码和 OS 更新不足以完美解决)。

  9. 普通用户能做什么?尽快更新系统就是了。

2439 次点击
所在节点    分享发现
2 条回复
qipo
2018-01-05 10:44:40 +08:00
AMD 两日连涨 10%
yksoft1
2018-01-05 12:26:18 +08:00
没有乱序执行的 CPU,比如 1~3 代 Atom,VIA 的 C7 和 Nano 一代,不受两个漏洞的影响。
目前放出的 Spectre POC 对 Intel 的 CPU,i7 一代以上基本都复现,奔腾 M 能复现,奔腾 4、Core 2 暂时还没有复现。不知为啥

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/420254

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX