為了解決以Intel處理器為代表的致命漏洞麻煩, 很多廠商都不得不做出重大修補.
微軟方面, Windows 10今天連下四道補丁 , 分別是KB4056892, KB4056891, KB4056890和KB4056888, 分別面向秋季創意者更新 (Version 1709) , 創意者更新用戶(Version 1703), 年度更新(Version 1607), 秋季更新(Version 1511), 升級後版本號迭代為Build 16299.192, 15063.850, 14393.2007和10586.1356.
雖說這些屬於累積更新, 但在修複BUG提升性能的同時, 最重要的一點就是NT內核級的調整, 用來封堵Meltown和Spectre兩個漏洞.
微軟還承諾, 面向Win7/8.1用戶的補丁會在下周二補丁日發布, 至於Windows 10 Insider會員, 去年11月內核調整時就已經修複完畢.
與此同時, 由於BUG會影響包括Amazon EC2, Microsoft Azure和Google Compute Engine在內的大牌雲計算環境, 微軟的Azure雲 (運行大量Linux和Windows) 將在1月10日進行維護和重啟, 大概會部署上述修複程序.
亞馬遜AWS通過電子郵件警告客戶, 預計本周五將有重大安全更新登陸 , 而不會涉及細節.
今天中午, 騰訊雲也宣布1月10日淩晨01:00-05:00通過熱升級技術對硬體平台和虛擬化平台進行後端修複.
Linux CN表示, 因為Intel無法通過微代碼更新填坑, Linux/Windows面臨重新設計, 雲服務廠商受損最猛.
專家指出, 現代處理器, 如Intel, 執行推測性執行. 為了保持內部管道的指令符合要求, CPU內核會儘力猜測接下來要運行的代碼, 取出並執行它.
AMD處理器不受內核頁表隔離功能所抵禦的攻擊類型的限制, AMD微架構不允許記憶體引用 (包括推測引用) 在訪問將導致頁面錯誤時以較低特權模式訪問較高特權的數據.
Intel的CPU可能在沒有執行安全檢查的情況下推測性地執行代碼. 似乎有可能以處理器開始執行通常被阻塞的指令 (例如從用戶模式讀取內核存儲器) 開始執行軟體, 並且在特權級別檢查發生之前完成該指令.
這將允許ring-3級用戶代碼讀取ring-0級內核數據.
這一問題和前不久Intel的ME漏洞突然契合了起來.
目前, Intel陣容中, 僅IA-64架構的安騰和極少數老Atom不受影響.
至於ARM, 在Linux修正內核中已經包含了為arm64準備的的等效 '內核頁表隔離kernel page-table isolation' (KPTI) 補丁集.
