iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 25
0
Security

從接電話解任務開始到進入資安領域邊邊系列 第 25

接電話解任務(25/30): 最近熱門的CPU漏洞筆記

  • 分享至 

  • xImage
  •  

網路爬文了最近熱門的CPU漏洞,順手筆記筆記一下= =

源自於1995年開始採用的CPU優化技術"推測執行"(Speculative execution)

原理是,在CPU中虛擬執行程序,待驗證為真便繼續執行、為非釋出,提前準備好計算結果要用時就可以立馬用用改善效能,後來被應用在許多CPU裡。也就是說,不分廠牌、有使用著項優化技術的CPU都會受到著一波漏洞的影響嚕……

"推測執行"(Speculative execution) 漏洞編號與說明

Spectre 應用程式之間的隔離破壞

CVE-2017-5715:分支目標注入(branch target injection)
CVE-2017-5753:繞過邊界檢查(bounds check bypass)

*低權限的應用程式與訪問核心記憶體沒有區分開來
**修補方式:CPU源碼修補

Meltdown 使用者與作業系統之間的隔離破壞

CVE-2017-5754:未管理資料暫存載入(rogue data cache load)

*使用者等級的應用程式原本不能直接讀取系統級的記憶體,透過著個攻擊可以穿越限制直接訪問。
**修補方式:在作業系統應用程層面加上保護機制,限制直接訪問系統級記體。

補漏

參考挨踢轟好文: 10個Q&A快速認識Meltdown與Spectre兩大CPU漏洞攻擊(內含各廠商修補進度大整理_1/8更新)
https://www.ithome.com.tw/news/120312


上一篇
接電話解任務(24/30): 本機與遠端管理工具PsTools
下一篇
接電話解任務(26/30): 執行程序和診斷工具Process and diagnostic utilities
系列文
從接電話解任務開始到進入資安領域邊邊32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言