ARM漏洞
Google安全团队Project Zero公布了多个高危漏洞,称这些漏洞几乎影响到了市面上所有的微处理器,AMD、ARM还是英特尔的处理器都难以幸免,围绕这些处理器打造的操作系统和硬件设备也会受到影响。

严重程度最高,内核等级的漏洞,NGA展示了如何通过这个来获取密码,基本上所有服务器、云服务平台都要考虑这个安全性问题。Google安全研究队伍爆出来这个问题
需要打PTI补丁修复,影响性能,这就有人说最高降低30%性能的根源,但这个性能降低要看不同应用,但是一定会有下降,也不仅仅只有30%降幅,特定应用有50%降幅。
Spectre:
严重程度稍低,所有高性能处理器都可能有这个问题,用于窃取其他应用的内存信息,很难定位,也很难修复,但攻击方式也很麻烦,攻击手段的实用性也很难说明,可以系统打补丁修复,也可以应用程序自己修复。有两种攻击手段,对应有两种修复方式:
1.打补丁,不会影响性能,但是系统出不出补丁,能不能定位这个漏洞,那是软件厂商的事情。AMD表示等补丁,且不影响性能,Intel表示无可奉告。
2.AMD说不好意思这种攻击方式对他们处理器无效,Intel表示无可奉告。
A75中招Meltdown
以上搬运CHH以及NGA
Intel官方回应称,他们和相关科技公司已经完全了解到了安全漏洞的工作机制,如果被恶意理用,有可能会造成信息数据泄露,但是绝没有修改、删除和导致系统崩溃的可能。
第二点,关于该漏洞仅仅是Intel x86-64处理器的一个设计BUG或者说缺点,Intel认为报道有误。他们指出AMD/ARM的服务器系统事实上也受到波及,大伙儿正紧密配合,研究出最彻底的应对之策。
第三点,所谓的打上补丁后性能损失30%~35%。Intel强调,性能问题是与工作负载强关联的,不能一概而论。事实上,就每个用户而言,不会有显著影响,而且(即便性能削弱)也会随时间减轻。
Intel强调,他们已经开始提供软件和固件更新。本来都和微软、谷歌等企业商量好了,下周公开这一漏洞并同时给出解决方案,结果TheReg率先踢爆,同时各种所谓“Intel隐瞒不报、偷着修复”“性能大损失”“Intel x86设计十年大BUG”的报道出现,让他们不得不提前站出来,以正视听。
Intel最后说,他们的产品是世界上最安全的,同时,希望用户能及时跟进系统层面、芯片层面的更新,确保一直被保护。
最后简单一提,所谓事情的起源Intel的CPU架构(近十年的产品都涉及)被发现核心内存泄漏,有可能让恶意脚本直接读取核心内存,拿走敏感信息。同时,外部研究者称,Intel无法通过BIOS更新修复,Linux内核甚至Windows NT都要跟着填坑才行。
ARM漏洞的更多相关文章
- Arm pwn学习
本文首发于“合天智汇”公众号 作者:s0xzOrln 声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关! 刚刚开始学习ARM pwn,下面如有错 ...
- ARM承认芯片漏洞:披露修复细节
在谷歌安全研究人员曝光了影响整个芯片产业的CPU设计漏洞后,ARM的Cortex系列处理器也未能逃过一劫.在一篇致开发者的博客文章中,该公司披露了三个已知漏洞的细节——其中两个与Spectre有关.第 ...
- Android提权漏洞CVE-2014-7920&CVE-2014-7921分析
没羽@阿里移动安全,更多安全类技术干货,请访问阿里聚安全博客 这是Android mediaserver的提权漏洞,利用CVE-2014-7920和CVE-2014-7921实现提权,从0权限提到me ...
- 【安卓安全】ARM平台代码保护之虚拟化
简介:代码的虚拟化即不直接通过CPU而是通过虚拟机来执行虚拟指令.代码虚拟化能有效防止逆向分析,可大大地增加了代码分析的难度和所需要的时间,若配合混淆等手段,对于动静态分析有着较强的防御能力. 背景: ...
- 应用服务器Glassfish任意文件读取漏洞
catalogue . 前言和技术背景 . Glassfish安装配置 . 漏洞利用 . 漏洞缓解(修复) 1. 前言和技术背景 0x1: GlassFish是什么 GlassFish 是用于构建 J ...
- 小白日记15:kali渗透测试之弱点扫描-漏扫三招、漏洞管理、CVE、CVSS、NVD
发现漏洞 弱点发现方法: 1.基于端口服务扫描结果版本信息,比对其是否为最新版本,若不是则去其 官网查看其补丁列表,然后去逐个尝试,但是此法弊端很大,因为各种端口应用比较多,造成耗时大. 2.搜索已公 ...
- Linux Kernel空指针引用本地拒绝服务漏洞(CVE-2013-5634)
漏洞版本: Linux kernel 漏洞描述: BUGTRAQ ID: 61995 CVE(CAN) ID: CVE-2013-5634 Linux Kernel是Linux操作系统的内核. 适用于 ...
- Linux Kernel 'perf_event.c'本地权限提升漏洞
漏洞版本: Linux Kernel 3.11-rc4 漏洞描述: Linux Kernel是一款开源的操作系统 Linux Kernel 'perf_event.c'存在一个安全漏洞,允许本地攻击者 ...
- ARM平台的虚拟化介绍
本篇博文主要介绍虚拟化的基本思想以及在arm平台如何做虚拟化,arm提供的硬件feature等等. 虚拟化技术简介 虚拟化技术 虚拟化是一个概念,单从这个概念的角度来看,只要是用某一种物品去模拟另一种 ...
随机推荐
- 教程-TObjectList.Clear、TStringList.Clear方法对象有没有被释放
相关资料: http://www.cnblogs.com/rogge7/p/4631796.html delphiTStringList通过AddObject方法添加对象. object里存的只是指向 ...
- python学习笔记(21)--新建html乱码(给每本漫画生成一个html)
说明: 1. open("index.html","w",encoding="utf-8"),open的第三个参数可以设置编码格式. 2. ...
- addEventListener()绑定事件的对象方法。
addEventListener()绑定事件的对象方法.addEventListener()含有三个参数,一个是事件名称,另一个是事件执行的函数,最后一个是事件捕获,, obj.addEventLis ...
- 【C#/WPF】获取项目的根目录(Root Directory)
/// <summary> /// 获得项目的根路径 /// </summary> /// <returns></returns> public str ...
- C语言 · s01串
算法训练 s01串 时间限制:1.0s 内存限制:256.0MB 问题描述 s01串初始为"0" 按以下方式变换 0变1,1变01 输入格式 1个整数(0~19) ...
- ExtJs GridPanel 给表格行或者单元格自定义样式
Ext.onReady(function(){ Ext.create('Ext.data.Store', { storeId:'simpsonsStore', fields:['name', 'ema ...
- 6. GC 调优(工具篇) - GC參考手冊
进行GC性能调优时, 须要明白了解, 当前的GC行为对系统和用户有多大的影响. 有多种监控GC的工具和方法, 本章将逐一介绍经常使用的工具. 您应该已经阅读了前面的章节: 垃圾收集简单介绍 - GC參 ...
- input输入框用el对数字格式化
<input name="doubleInput" type="text" maxlength="32" id="doubl ...
- thinkPHP的优缺点
适合大量重复的工作,但不太灵活...
- MODEL-View-Controller,既模型-视图-控制器
Swing组件采用MVC(MODEL-View-Controller,既模型-视图-控制器)设计模式,其中模型(Model)用于维护组件的各种状态,视图(View)是组件的可视化表现,控制器(Cont ...