1. 英特尔 漏洞,英特尔在2018年及以后销售的处理器芯片上?
英特尔2018最大的新闻莫属因特尔出资150个亿来研发汽车自动驾驶技术,利用因特尔的运算速度来达到自动导航,目前和大众 日产 上汽集体合作签订了200万的辆的合同。在大概7-8年前苹果4年代曾经有个小孩从iOS后台破解了苹果4(称为 越狱)同时他也破解了索尼PS3 让人们不用买正版碟可以廉价玩游戏,当被苹果公司起诉时 他表明不是为了钱,苹果公司放弃了起诉。当时他的下一步就是研发汽车自动驾驶技术,7-8年过去因特尔已经投入研发了,拭目以待
2. 英特尔和AMD已经公布了受CPU漏洞的产品细节?
在一篇致开发者的博客文章中,该公司披露了三个已知漏洞的细节 —— 其中两个与 Spectre 有关、第三个与 Meltdown 有关 —— 此外还有第四个与 Meltdown 有关的“变种”。
根据 ARM 公布的图表,该公司整个 A-系列都易受 Spectre 的影响;至于 Meltdown,则只有 A75 芯片才受影响。
虽然 A15、A57、以及 A72 芯片有可能受到 Meltdown 变种的影响,但 ARM 声称:“通常情况下,为这个问题进行软件移植是没有必要的”。
该公司特别指出,除已列出的这些,并不是所有 ARM 芯片都受到影响。此外文章中还提到了针对不同漏洞变种的 Linux 修复:
● Google 负责搞定自家 Android 平台(昨日已公布),其它操作系统用户也应该联系制造商寻求对应的解决方案。
● Cortex A8 / A9 / A11 芯片被用于大量旧款 iOS 设备中,此外还有 Nvidia 公司的 Tegra、以及三星早前的部分 Exynos 芯片。
● 索尼 PlayStation Vita 采用了 A9 架构的芯片,而后续版本的 Cortex 芯片,也被用于 Google Pixel 和某些高通骁龙设备中。
据多方所述,这些漏洞已被开发者们知晓数月,只是各家软硬件制造商一直在秘密开发补丁,避免在此之前惊动黑客社区。然而媒体的过早曝光,迫使各家公司必须加快修复工作和向公众解释清楚的时间表。
最早发现漏洞的 Google Project Zero 团队早已有一份完整的报告,而 ARM 也公布了自家的版本(缓存预测旁路漏洞白皮书)。此前报告提及相关修复有望在 1 月 9 号(微软的“补丁星期二”)推出。
AMR 希望所有开发者都能深入阅读报告内容,以了解漏洞的工作原理和最佳的缓解措施。至于未来的发展,该公司表示也将做好准备:
所有未来的 ARM Cortex 处理器都将能够抵御这类攻击,并通过内核补丁进行漏洞修复。
我司希望白皮书中提到的软件缓解方案会被严格部署,以保护用户不受恶意程序的攻击。
ARM 专业的安全响应团队,会与合作伙伴和客户密切联手,研究任何潜在的缓解方法。
另外,英特尔回应了这些漏洞对自家处理器的影响,甚至还强行拉 AMD 和 ARM 下水,说后者也面临同样的问题。
对此,AMD 迅速打脸称该公司全系处理器的设计对 Meltdown 免疫,且受 Spectre 漏洞的影响也极其轻微。
【白皮书】
https://developer.arm.com/support/security-update/download-the-whitepaper
【博客原文】
https://developer.arm.com/support/security-update
3. Intel处理器又有漏洞了?
够呛,虽然amd在处理器研发创新等方面都很不错,例如x64基础,集成三级缓存,高端指令等等都很先进,但是在于英特尔的交锋中不能否认,英特尔技术的储备很强大,并且在研发创新生产技术等等方面都是大而全。
例如,英特尔有钱,有晶圆厂,并且有最好的晶圆架构,而且在ssd的技术方面也是超级领先,在AI方面也是有软硬件的技术,网络专利储备,所以英特尔在技术方面很强大。
反观amd钱,有,不多,你就不可能砸钱让别人采用你的技术,晶圆厂也出手了,gf的技术也是三星的,当然三星也是剽窃台积电。虽然有显卡,但是磕磕绊绊,游戏性能不如nv,在ai的铺垫也不如英特尔,nv,技术储备当然野很一般,就拿速龙处理器来说基本是吃了14年的老架构,只不过是优化改良,让英特尔打趴下数年之久。ryzen处理器架构的推出,的确在消费级市场创造了很多效应,但是ryzen处理器虽然是14nm架构,但是与英特尔的14nm不是相等的,理论来说就是英特尔的处理器核心比较容易超频,反观农企的处理器超频效果一般,就说明核心制程不太好,就看二代12nm改良的了,如果核心能随便达到4.4g主频也是跟牛的了。
农企的市场策略其实就是田忌赛马,同等价格多核心,同等核心低价格,你说用户谁不喜欢呢?花一分钱的二分钱的东西。
但是,英特尔不是吃素的,如果ryzen二代三代都很好,可能到时候英特尔会改良核心架构,增加核心数量,等等手段来对抗,当然如果这样用户才是最能享受实惠的
4. 网络安全漏洞什么意思?
一个较为通俗的网络漏洞的描述性定义是:存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。
5. 对英特尔处理器有多大的影响?
推测执行是所有现代 CPU 都具有的一项功能,以提升系统的整体的表现。
然而早些年曝光的幽灵(Spectre)和熔毁(Meltdown)漏洞,已经为芯片设计行业敲响了警钟。
今天,来自世界各地大学的一支学者和比特梵德(Bitdefender)的漏洞研究人员一道,揭示了英特尔处理器中“加载值注入”(简称 LVI)新安全漏洞。
尽管被视作一种理论上的威胁,但英特尔还是发布了相应的固件补丁,以减轻对当前 CPU 的攻击影响,并且会在下一代硬件设计中部署修复。
要了解什么是 LVI 公司,首先得知晓幽灵(Spectre)和熔毁(Meltdown)漏洞 —— 尤其是后者!
2018 年 1 月公布的 Meltdown 漏洞,运行攻击者在 CPU 上运行‘推测执行’代码操作时,从缓存中读取数据。
作为现代 CPU 设计的一项独特功能,其允许 CPU 预先准备好相应的数据,以帮助提升处理器的速度和性能。
若推测执行没有命中,则会将之丢弃。然而 Meltdown 和 Spectre 漏洞的诡异之处,就是能够在‘瞬态’间攻击目标数据。
作为 2018 年的一个重磅炸弹,Meltdown 和 Spectre 攻击表明现代 CPU 设计存在重大的缺陷。
基于原始的攻击方案,世界各地的学者进一步扩大了研究范围,整理出了一套套类似的“瞬态攻击”。
于是在过去两年,我们还见到了包括 Foreshadow、Zombieload、RIDL、Fallout 和 LazyFP 等在内的一系列 CPU 推测执行攻击漏洞。
理论上,新曝光的 LVI 攻击,就是反其道而行之的 Meltdown 漏洞。
尽管原始的 Meltdown 漏洞允许攻击者在瞬时过渡时从 CPU 缓存中读取应用程序的数据,但 LVI 允许攻击者将代码注入 CPU、并使之作为‘临时’操作执行,从而使得攻击者能够更好地控制。
两个研究小组开展的测试表明,LVI 攻击彼此独立,成功地证明了攻击的影响有多广泛。
例如,学术研究团队专注于从英特尔 SGX 安全区泄漏数据(加密密钥),而 Bitdefender 则专注于证明攻击对云环境的影响。
其表示,这种攻击在多租户环境(例如数据中心中的企业工作站或服务器)中尤其具有破坏性。
在此环境下,一个特权较低的租户,将能够从特权更高的用户、或其它虚拟机管理程序中泄漏敏感信息。
当 Meltdown 在 2018 年 1 月被首次曝光时,英特尔最初表示其仅需固件补丁,而 Spectre 攻击则需要修改 CPU 的硅片设计。
但是现在,研究人员表示事情已没有这么简单。学术团队和比特梵德均表示,Meltdown 和 LVI 攻击,现在都将需要实施硬件层面的修复,因为 LVI 甚至可以绕过 Meltdown 的早期修复。
6. 黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
关注我,带你以技术思维看世界~
作为一个7年老程序员,来强答一波。
找漏洞的过程题主这个问题其实是从一个惯性思维来提出的。为什么呢?
因为一个新的漏洞其实不是通过某种方式先知道这里有个漏洞之后再利用它来攻击的,而更像是“蒙”的。是通过不断的调整输入的数据和输入方式,直到出现“意料之外”的情况,这才是找漏洞的真正过程。
很多黑客虽然算不上是coding高手,但是对于一个程序是如何编写出来的,还是有基本的认识的。借此,他其实就知道自己如果发起一个请求可能会怎么样被处理,然后剩下的与编写这部分代码的程序员之间的博弈,这个过程有点像两个人下围棋。
一般黑客会将自己用过的“攻击方法和攻击数据”整合到自己的一个“武器箱”中,后续就通过程序化的方式自动去运行攻击,自己则是观察整个攻击过程,看看能不能发现新的机会。
这些才是黑客的工作过程。
视角有什么区别吗?黑客和软件开发者的视角肯定是不同的,而且正好相反。
软件开发者要做的事是什么?就是如何把一个程序写“正确”,符合设定的预期。你可以这样来理解,好比是带着一个“参考答案”和“解题思路”去写代码。
但是我们知道,任何事物都有两面性,或者说不是“完美”的,“解题思路”也是如此。
更何况,“解题思路”的目的是如何变得“正确”,而不是“不正确”,从思维惯性上就不会考虑那些让它变得“不正确”情况。否则不是和自己要完成的事背道而驰么。
黑客的视角与软件开发者正好相反,倒是和常见的「测试工程师」的视角比较接近。就是通过逆向思维来想尽办法把这个程序搞的“不正确”。
具体的过程就是第一部分内容讲的那些。
希望对你有所帮助:)
欢迎在留言区补充或者阐述不同观点,与我交流。
如果觉得回答对你有所帮助的话给我点个「赞同」并「关注我」吧,支持我的创作。
谢谢你的举手之劳~
了解Z哥更多,欢迎搜索微信公号:跨界架构师。让我们一起为了理想的生活而奋斗。我还会不定期的送出粉丝福利哦。内容包括:架构设计丨分布式系统丨产品丨运营丨个人深度思考。
7. 作为普通用户如何应对英特尔?
微软最新针对Meltdown和Spectre推送的Windows安全更新看起来比以往更容易引发问题。上周,这家公司向Windows用户发出警告,由于某些版本的杀毒软件存在问题,所以其推送的安全更新仅适用于杀毒软件ISV已经更新了"ALLOW REGKEY"的设备。
正如微软所说的那样,一些使用问题杀毒软件的Windows用户无法接收到安全更新,包括今日推送的星期二补丁。微软在技术支持页面发布通告称:
“除非所用杀毒软件开发商设置了以下注册表项:
Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”
Data=”0x00000000”
否则客户将不会收到2018年1月的安全更新(或任何后续安全更新)也将无法得到安全保护。”
在相关的FAQ中,微软解释称,它正在要求所有的杀毒软件开发商设置该注册表项以此来保护客户免遭蓝屏及其他错误情况。这家公司表示,他们现在正在跟各大杀毒软件供应商密切合作,不过这项工作可能需要一段时间。与此同时,微软也正在跟AMD合作希望尽快解决致AMD电脑变砖的问题。
