简介:Meltdown 和 Spectre 是影响地球上几乎所有计算机、平板电脑和智能手机的两个漏洞。 这是否意味着您可以被黑客入侵? 你能为这个做什么?
如果您认为 2017 年是安全噩梦之年,那么 2018 年看起来会更糟。 这一年才刚刚开始,我们已经有两个主要漏洞影响了过去 20 年制造的几乎所有处理器。
也许您已经在各种网站上详细阅读了很多关于它的信息。 我将在这里对它们进行总结,以便您在这篇简短的文章中了解这些漏洞的本质、它们的影响以及如何保护自己免受 Meltdown 和 Spectre 的影响。
首先,让我们看看这些错误到底是什么。
什么是 Meltdown 和 Spectre 错误?
Meltdown 和 Spectre 是类似的漏洞,会影响 计算机的处理器(也称为 CPU). 您的智能手机和平板电脑也是一种计算机,因此这些 CPU 漏洞也可能影响它们。
尽管漏洞相似,但它们并不相同。 有一些差异。
崩溃
Meltdown 漏洞允许程序访问内核的私有内存区域。 该内存可以包含其他程序和操作系统的秘密(包括密码)。
这使您的系统容易受到攻击,恶意程序(甚至是网站上运行的 JavaScript)可以尝试从内核私有内存区域中的其他程序中找到密码。
此漏洞是 Intel CPU 独有的,可以在共享云系统上利用。 值得庆幸的是,它可以通过系统更新进行修补。 微软、Linux、谷歌和苹果已经开始提供修复。
幽灵
Spectre 也处理内核内存,但略有不同。 这个漏洞实际上允许恶意程序欺骗在同一系统上运行的另一个进程来泄露他们的私人信息。
这意味着恶意程序可以欺骗您的网络浏览器等其他程序来泄露正在使用的密码。
此漏洞影响 Intel、AMD 和 ARM 设备。 这也意味着智能手机和平板电脑中使用的芯片在这里也面临风险。
Spectre 很难修补,但也很难被利用。 讨论正在进行中 通过软件补丁提供解决方法。
我推荐阅读 这篇关于寄存器的文章 获取有关 Meltdown 和 Spectre 错误的技术细节。
英特尔称 Meltdown 漏洞“按设计工作”
更糟糕的是,英特尔试图为它辩护 糖衣新闻稿 只读到一件事:一切都按设计进行。
Linux 创造者 Linus Torvalds 似乎对英特尔的借口不满意 指责英特尔不愿意提供修复. 登记册还有更多 对英特尔新闻稿的搞笑删除.
由于漏洞已被披露, 英特尔股价下跌,AMD股价上涨.
是灾难性的吗?
它是 最先发现这些漏洞的谷歌 去年 6 月又惊动了英特尔、AMD 和 ARM。 根据 CNBC 的说法,安全研究人员必须签署保密协议并在努力修复该漏洞时对其保密。
有趣的是, Canonical 声称所有操作系统都同意在 2018 年 1 月 9 日提供修复 在公开披露安全漏洞的同时,但这并没有发生。
虽然这些漏洞影响了大量设备,但到目前为止还没有发生广泛的攻击。 这是因为从内核内存中获取敏感数据并不简单。 这是一种可能性,但不是确定性的。 所以你现在不应该开始恐慌。
如何保护您的计算机免受 Meltdown 和 Spectre 的影响?
好吧,除了等待更新到来之外,您无能为力。 大多数 Linux 发行版,包括 Ubuntu、Mint、 Fedora 等已经发布补丁。 其他 Linux 发行版和操作系统也应该很快得到修复(如果他们还没有得到它)。
也有可用于 Web 浏览器的更新。 因此,请检查系统更新并在更新时安装它们。
Meltdown 修复程序会减慢您的计算机速度吗?
这个问题的简短回答是肯定的,它会的。 如果您使用 Intel CPU,在应用 Meltdown 的软件更新后,您可能会注意到性能下降了 10-30%。 事实上,几个 研究人员声称英特尔故意保持漏洞开放 为了比其竞争对手 AMD 获得轻微的性能提升。