史上最大漏洞危机:影响所有 iPhone.Android.PC 设备,修复困难重重 近日,英特尔的日子可并不好过. 作为全球知名芯片制造商,任何有关英特尔芯片漏洞的问题都会导致全球上百万设备遭受牵连. 这一次,“Spectre”和“Meltdown”的两个安全漏洞给了其狠狠一记重拳. 截止目前,包括 Linux.Android.微软 Windows 和苹果 OS X 操作系统,甚至主要的云计算供应商 AWS.Azure.谷歌云等均受此影响.国内腾讯云.阿里云也先后对此事进行了紧急回应.无疑,这一…

2018年1月4日,国外安全研究人员披露了名为"Meltdown"和"Spectre"两组CPU特性漏洞,该漏洞波及到近20年的Intel, AMD, Qualcomm厂家和其它ARM的处理器,可导致CPU运作机制上的信息泄露,危害巨大且影响广泛. spectre POC编译测试: spectre POC编译测试,打过补丁依然可以读取,在一定程度上并不能完全解决问题. 这次的微软更新并非是全面修复,部分 Windows PC 可能还需要额外的 CPU固件更新来防范…

一.背景: 1月4日,国外爆出了整个一代处理器都存在的灾难性漏洞:Meltdown和Spectre. 几乎影响了全球20年内所有cpu处理器:这两个漏洞可以使攻击者通过利用并行运行进程的方式来破坏处理器的特权内存,通俗的来说:攻击者能够窃取系统中任何数据. 目前,所有安全厂商都对这两个漏洞详细信息以及攻击方式进行复现和验证,但是讲解的都非常专业,难懂.所以我从网上搜寻了多个分析文章,结合个人简单理解,提取了如下一些内容,简单介绍下这次的漏洞: (由于本人对硬件技术了解有限以及目前爆出来的资料不是…

元旦之后的第一个工作日可谓是惊喜不断,4号就传来了 Google Project Zero 等团队和个人报告的 Meltdown 和 Spectre 内核漏洞的消息,首先简单介绍一下这两个内核漏洞. 漏洞介绍 Meltdown 打破了用户应用程序和操作系统之间最基本的隔离,这种攻击允许程序访问其他程序和操作系统的内存. Spectre 打破了不同应用程序之间的隔离,它允许攻击者欺骗遵循完美运行的程序泄露它的所有数据.事实上,完美运行的程序进行安全检查实际上会增加攻击面,并可能使应用程序更容易受到…

Intel CPU漏洞分析报告 预备知识 存储分级 由于计算机存储分级的特性(第一级:寄存器,第二级:高速缓存,第三级:内存,第四级:磁盘),每一级之间的访问速度差距高达数量级.所以处理器会将用到的数据和指令加载进高速缓存(现代CPU分指令高速缓存与数据高速缓存),以提高计算机的执行速度.其加载数据或指令进高速缓存的原则是(空间局部性.时间局部性): 1. 时间局部性:如果一个数据被访问,那么在近期它很可能还会被再次访问. 2. 空间局部性: 与当前访问的数据紧挨着的数据,近期将会被访问 分支预…

只要平时对安全领域感兴趣的读者肯定都听过spectre&Meltdown侧信道攻击,今天简单介绍一下这种攻击的原理( https://www.bilibili.com/video/av18144159?spm_id_from=333.788.b_765f64657363.1 这里有详细的视频介绍,墙裂推荐). 1.CPU顺序执行指令 众所周知,程序是由一条条指令顺序排列构成的,老的cpu也是逐行执行指令:随着cpu的技术发展(著名的摩尔定律),cpu执行指令的速度越来越快,和内存读写速度的差距越…

最近觉得越来越忙,写博客都没精力了.一定是太沉迷农药和刷即刻了…… 17年年底,18年年初,Intel被爆出了Meltdown(熔断)和Spectre(幽灵)漏洞.等Spectre攻击的POC出来以后,去github围观了一下,真的非常精妙,好想贴上来分享一下. void victim_function(size_t x) { if (x < array1_size) { temp &= array2[array1[x] * ]; } } 主要代码就在Source.c里面,实际生效的不到10…

最近爆出来的 Intel CPU 的底层漏洞可谓是影响巨大,过去20年的电脑都可能会受影响.前几天 Raspberry Pi 的官方 Twitter(@Raspberry_Pi) 转推了这篇文章,通过简单的 Python 程序分析了各种硬件术语和漏洞攻击模式,内容简单易懂,看后神清气爽.今天抽空将其翻译,分享给大家.本人英语也不算太好,对着百度磕磕绊绊的翻译了出来,如有错误请多多包涵.--2018年1月8日 *原文地址:https://www.raspberrypi.org/blog/why-r…

http://www.cnbeta.com/articles/tech/685897.htm 由Intel CPU漏洞问题衍生出来的安全事件已经波及全球几乎所有的手机.电脑.云计算产品,ARM确认 Cortex-A架构中招,AMD表示从目前的研究来看,他们受影响最小,可视为零风险.不过,今晨,<福布斯>.WMPU等撰文对此次事件进行了一次详细的披露和解释,整理如下—— 1.哪些系统受影响? Windows.Linux.macOS.亚马逊AWS.谷歌安卓均中招. 2.除了Intel处理器,还波及…

这几天报道了Intel的漏洞,这里学习一下并做个记录. 报告:https://spectreattack.com/spectre.pdf #include <stdio.h> #include <stdlib.h> #include <stdint.h> #include <string.h> #ifdef _MSC_VER //编译器根据版本自动调用lib库 #include <intrin.h> //用于内核编程 #pragma optimi…