↑↑↑左:Meltdown 右:Spectre
不过,今晨,《福布斯》、WMPU等撰文对这次事宜进行了一次详细的表露和解释,整理如下——
1、哪些系统受影响?
Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。
2、除了Intel处理器,还波及哪些硬件?
ARM的Cortex-A架构和AMD处理器。Cortex-A目前广泛用于手机SoC平台,包括高通、联发科、三星等等。
虽然AMD称基于谷歌研究的三种攻击办法,自己的处理器基本免疫。但Spectre(幽灵)漏洞的联合创造者Daniel Gruss(奥地利格拉茨技能大学)称,他基于AMD处理器的Spectre代码攻击仿照相称成功,绝不能低估。
3、如何修复?
Intel建议关注后续的芯片组更新、主板BIOS更新,但首先,该当把OS级别的补丁打上。
对付Meltdown漏洞:Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复,Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892,将逼迫自动安装。
亚马逊也公布了辅导方案。
对付难度更高的Spectre漏洞,目前仍在攻坚。
4、Windows 7/XP受影响不?
微软承诺,将不才一个补丁日帮助Win7修复,但是否惠及XP没提。
5、打补丁性能受到影响?
研究者Gruss称对此,他无法给出确切结论,但从Intel声明的说话中可以确认会有性能丢失。
福布斯称,性能影响较大的是Intel 1995年到2013年的老处理器,最高可达50%,从Skylake这一代之后就险些察觉不到了。
6、那么这些漏洞造成什么丢失了?
由于两个漏洞都是越级访问系统级内存,以是可能会造成受保护的密码、敏感信息透露。
但福布斯理解到,目前,尚未有任何一起真实天下攻击,所有的推演都来自于本地代码仿照。
以是,看似很严重但实在也可以理解为一次安全研究的胜利。研究者称,漏洞要在个人电脑上激活须要寄托与详细的进程等,比如通过钓鱼软件等办法植入。
7、杀毒软件有效吗?
可结合第6条来理解,真实天下攻击中,杀软的二进制文件比对法可能会提前创造,但尚无定论。
