阅读:5149回复:18
[转帖][新闻] Mozilla确认近日的CPU漏洞可经由网路执行
Mozilla确认近日的CPU漏洞可经由网路执行
2018/01/04 Mozillla确认近日传出Intel的CPU漏洞Meltdown和Spectre, 不需要使用者执行本地的程式码,只要上网浏览, 就可能经由网页载入和执行的JS而受到攻击, 证实了使用者最担忧发生的情形。 由于这些漏洞的资讯在去年已经分享给Mozilla, 所以2018/01/04推出的Firefox 57.0.4版已经针对这些漏洞提出缓解。 由于利用这些漏洞的攻击需要仰赖精确的时间差来侦测快取的内容, 所以Fx57暂时的缓解是降低了几个时钟源的精度, 例如performance.now()、将SharedArrayBuffer预设停用。 这些暂时的缓解不能完全解决bug, 但是可以有效的妨碍利用这些漏洞的攻击成功的获取正确的资讯。 Mozilla表示他们在试验新的缓解技术,可以彻底消除资讯的泄漏。 而Google Chrome预计将会在1月23号发行的v64版推送这些漏洞的缓解, 在那之前,Google建议使用者启用v63版的Strict Site Isolation功能, 这个功能可以隔离非同源的网页捞取其他分页的资讯, 避免储存在其他网站资讯泄漏。 来源: https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/ __________________________________________________________________________________ 另外补充Chrome相关已知问题: 记忆体:网站隔离功能会使 Chrome 的记忆体用量增加大约 10–20%。 列印:跨网站 iframe 会显示空白。如要列印整个页面,请将该页面储存到电脑中, 然后开启储存的档案进行列印。 DevTools:Chrome 开发人员工具尚未针对网站隔离设定为跨网站 iframe 提供完整 支援。 |
|
1楼#
发布于:2018-01-05 16:29
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/ 应该说是昨天刚推出的57.0.4才增加了针对meltdown 和 spectre 的mitigation 吧,之前的57版应该是没做应对的。 然而对于我这种不打算碰57+的用户来说,都一样…… 也许最终只能靠换电脑解决问题。 |
|
2楼#
发布于:2018-01-05 16:38
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/SharedArrayBuffer about:config?filter=shared_memory 好像52esr 的SharedArrayBuffer 默认就是禁用的,57.0.4之前的57版默认是开启的。 |
|
3楼#
发布于:2018-01-05 16:38
52esr不修复吗?
|
|
4楼#
发布于:2018-01-05 16:56
处理器重大安全漏洞,私密资料有外泄疑虑
这起安全漏洞消息,是由Alphabet旗下的Google Project Zero团队,以及多国的研究人员共 同合作发布的研究报告所揭露,存在Intel处理器的设计瑕疵存在已久,推测近10年搭载 Intel 处理器的 Windows、Mac 与 Linux 电脑可能都受到影响。 报告中提到被命名为“Meltdown”跟“Spectre”的两个漏洞,其中“Meltdown”的漏洞 只存在于Intel晶片,可以让骇客接触到电脑记忆体内的私密资料,包括浏览器上的密码 、帐号登入资讯、照片、e-mail、个人讯息,甚至是商业文件,发现Meltdown漏洞的研 究人员甚至说,这有可能是近来最严重的处理器(CPU)漏洞之一。 包括 Linux 、 Windows 与 64 位元的 Mac都需要进行修复,意思是需要将核心记忆体资料 隔离起来才能修复这项漏洞,但这有可能会造成无法避免的效能损失。 对Intel产品产生的降速程度可能是5%至30%,大部分的电脑则是17%至23%,预计会在下 周推出更新软体,但这部分没有任何公开文件说明、讯息相对不完整,也不清楚Mac系 统的影响程度会是如何,但Intel强调,电脑效能是跟工作负载强度有关,就算效能降低 ,情况也会随时间而减缓,且一般用户更新后并不会有很明显的效能降低问题,要大家 不必过度担心。 |
|
5楼#
发布于:2018-01-05 22:22
升级到57.0.4 会降低性能吗?
|
|
6楼#
发布于:2018-01-06 21:07
|
|
7楼#
发布于:2018-01-06 21:14
|
|
8楼#
发布于:2018-01-07 10:29
普通人没必要关心这个。黑客不会攻击没有价值的电脑。为了加快电脑运行速度,本人连防火墙杀毒之类的统统关闭。用几年了电脑还是好好的。普通用户没有被黑客关注的价值。更不需要因为这个cpu漏洞换电脑。
|
|
9楼#
发布于:2018-01-08 13:13
|
|
10楼#
发布于:2018-01-08 15:40
|
|
11楼#
发布于:2018-01-10 12:47
|
|
12楼#
发布于:2018-01-10 18:40
|
|
13楼#
发布于:2018-01-10 19:20
|
|
14楼#
发布于:2018-01-10 19:48
首先要说的是,虽然这次漏洞影响范围广泛,并引起全球关注,但受影响最大的主要是云服务厂商,对于普通用户来说影响不大,不必过于恐慌。
言论正传,让我们先回顾一下这次事件的发生背景:1月4日,国外安全研究机构公布了两组CPU漏洞:Meltdown(熔断),对应漏洞CVE-2017-5754;Spectre(幽灵),对应漏洞CVE-2017-5753/CVE-2017-5715。 利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息;当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的如帐号,密码,邮箱等个人隐私信息可能会被泄漏;在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。Meltdown漏洞影响几乎所有的Intel CPU和部分ARM CPU,而Spectre则影响所有的Intel CPU和AMD CPU,以及主流的ARM CPU。从个人电脑、服务器、云计算机服务器到移动端的智能手机,都受到这两组硬件漏洞的影响。 这两组漏洞来源于芯片厂商为了提高CPU性能而引入的新特性。现代CPU为了提高处理性能,会采用乱序执行(Out-of-Order Execution)和预测执行(Speculative Prediction)。乱序执行是指CPU并不是严格按照指令的顺序串行执行,而是根据相关性对指令进行分组并行执行,最后汇总处理各组指令执行的结果。预测执行是CPU根据当前掌握的信息预测某个条件判断的结果,然后选择对应的分支提前执行。乱序执行和预测执行在遇到异常或发现分支预测错误时,CPU会丢弃之前执行的结果,将 CPU的状态恢复到乱序执行或预测执行前的正确状态,然后选择对应正确的指令继续执行。这种异常处理机制保证了程序能够正确的执行,但是问题在于,CPU恢复状态时并不会恢复CPU缓存的内容,而这两组漏洞正是利用了这一设计上的缺陷进行测信道攻击。 我们在获悉该病毒舆情后,第一时间对其展开溯源分析,具体如下: 1、Meltdown漏洞原理 乱序执行可以简单的分为三个阶段,如下图所示: 每个阶段执行的操作如下: [*]获取指令,解码后存放到执行缓冲区Reservations Stations [*]乱序执行指令,结果保存在一个结果序列中 [*]退休期Retired Circle,重新排列结果序列及安全检查(如地址访问的权限检查),提交结果到寄存器 结合Meltdown利用的代码片段来看: [indent]; rcx = kernel address ; rbx = probe array 1 mov al, byte [rcx] 2 shl rax, 0xc 3 mov rbx, qword [rbx + rax][/indent] Meltdown漏洞的利用过程有4个步骤: [*]指令获取解码; [*]乱序执行3条指令,指令2和指令3要等指令1中的读取内存地址的内容完成后才开始执行,指令3会将要访问的rbx数组元素所在的页加载到CPU Cache中; [*]对2的结果进行重新排列,对1-3条指令进行安全检测,发现访问违例,会丢弃当前执行的所有结果,恢复CPU状态到乱序执行之前的状态,但是并不会恢复CPU Cache的状; [*]通过缓存测信道攻击,可以知道哪一个数组元素被访问过,也即对应的内存页存放在CPU Cache中,从而推测出内核地址的内容。 2、Spectre漏洞原理 与Meltdown类似,Spectre的原理是,当CPU发现分支预测错误时会丢弃分支执行的结果,恢复CPU的状态,但是不会恢复CPU Cache的状态,利用这一点可以突破进程间的访问限制(如浏览器沙箱)获取其他进程的数据。 Spectre的利用代码片段: [indent]if (x < array1_size) { y = array2[array1[x] * 256]; // do something using Y that is // observable when speculatively executed }[/indent] 具体攻击过程可以分为三个阶段: [*]训练CPU的分支预测单元使其在运行利用代码时会进行特定的预测执行; [*]预测执行使得CPU将要访问的地址的内容读取到CPU Cache中; [*]通过缓存测信道攻击,可以知道哪一个数组元素被访问过,也即对应的内存页存放在CPU Cache中,从而推测出地址的内容。 关于漏洞验证 目前开源社区github已经放出来了漏洞的验证代码(PoC),如下: https://github.com/Eugnis/spectre-attack https://github.com/feruxmax/meltdown https://github.com/gkaindl/meltdown-poc https://github.com/turbo/KPTI-PoC-Collection 经过我们的技术专家和其他安全研究人员实际验证,漏洞可在Windows、Linux、Mac-OS等操作系统下,成功读取任意指定内存地址的内容,如下图所示: Windows: Ubuntu 16.04: 此外,有安全研究人员验证了可以通过漏洞获取到用户正在输入的密码,不过暂未放出相关代码。如下图所示: 目前漏洞修复进展如何? 根据最新消息,目前针对这两组漏洞,各家芯片厂商、操作系统厂商、浏览器厂商,以及云服务厂商,都发布了安全公告,并及时推出了缓解措施和修复补丁。我们梳理了相关厂商的更新信息,具体如下: 1、芯片厂商 1.1 Intel Intel已经确认自身CPU中存在相关问题,并正与包括AMD、ARM和多家操作系统厂商在内的许多其他科技公司紧密合作,制定行业范围的方法,以便及时和建设性地解决这些漏洞。另外Intel认为有些媒体里面的报道并不准确,这些问题不仅仅Intel,其他厂商的CPU中也存在相关问题。Intel已经提供软件和固件更新以解决这些漏洞,预计下周末之前会修复最近5年中90%的CPU。 1.2 ARM ARM确认大部分处理器不受漏洞影响,但给出了一个受影响的处理器列表。ARM认为,利用这些漏洞进行攻击需要在本地运行恶意软件,用户及时更新软件和不点击来历不明的链接会降低攻击风险。针对linux上的程序,ARM提供了新编译器,可用新编译器重新编译。另外发布了Linux ARM内核补丁,用于修补漏洞,相关页面如下: https://developer.arm.com/support/security-update/download-the-whitepaper https://developer.arm.com/support/security-update 1.3 AMD AMD针对每个漏洞做了回复,第一个漏洞由软件、操作系统厂商发布补丁解决,性能影响非常轻微,其他两个漏洞由于AMD CPU特殊的架构,都不受影响。具体如下: https://www.amd.com/en/corporate/speculative-execution 2、操作系统 2.1 Windows 微软已经发布了安全通告,修复了IE、Edge、Windows内核中相关问题,并针对普通用户、服务器用户、云用户各自给出了防护指南。 微软普通用户:https://support.microsoft.com/help/4073119 服务器用户:https://support.microsoft.com/help/4072698 云用户:https://support.microsoft.com/help/4073235 微软安全通告:https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities 2.2 Linux Linux内核开发者Thomas Gleixner在2017年12月在Linux内核邮件列表中就新的KAISER隔离补丁发布了说明。目前有人怀疑这批补丁可能正是为了解决Linux系统当中的Metldown与Spectre 漏洞。具体如下: https://lkml.org/lkml/2017/12/4/709 2.3 RedHat 红帽公司已经发布一项建议,其中列出受到影响的产品及其当前状态。建议内容表明:对于正在运行受影响版本产品的红帽客户,强烈建议用户尽快根据指导清单进行更新。所有受影响产品都应安装修复补丁,借以缓解CVE-2017-5753 (变种1)与CVE-2017-5754 (变种3)漏洞。CVE-2017-5715 (变种2)可通过本地以及虚拟访客边界两种方式被加以利用。具体如下: https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY& 2.4 安卓 Android团队于2018年1月更新了安全通告:CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754为已经得到公开披露的一系列与处理器内推测执行相关的漏洞。Android尚未发现任何在基于ARM的Android设备之上重现上述漏洞以进行的未授权信息泄露行为。具体如下: https://source.android.com/security/bulletin/2018-01-01 3、浏览器 利用漏洞在浏览器中进行攻击依赖于新特性SharedArrayBuffer和用于高精度时间计算的函数performance.now。各个浏览器表示都采取了以下两个缓解措施: [*]移除浏览器中可用于攻击的SharedArrayBuffer特性 [*]降低用于高精度时间计算的函数performance.now的精确性 3.1 Microsoft Edge 微软已经发布了浏览器补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 3.2 FireFox Mozilla从FireFox 57版本开始采取了这两个缓解措施:https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ 3.3 Chrome 谷歌从Chrome 64版本开始采取了这两个缓解措施: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html 4、云服务厂商 4.1 Amazon Amazon方面已经发布一项安全公告,指出:此项安全漏洞广泛存在于过去20年推出的英特尔、AMD以及ARM等各类现代处理器架构当中,影响范围涵盖服务器、台式机以及移动设备。 虽然AWS所执行的更新能够切实保护底层基础设施,但为了充分解决此次问题,客户还应对实例中的操作系统进行修复。目前Amazon Linux更新已经开始发布,具体如下: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/ 4.2 阿里云 为解决处理器芯片的安全问题,阿里云将在北京时间2018年1月12日凌晨1点进行虚拟化底层的升级更新。届时,阿里云将采用热升级的方式,绝大多数客户不会受到影响。但个别客户可能需要手动重启,阿里云建议客户提前准备运营预案及数据备份。 4.3 腾讯云 腾讯云将于北京时间2018年1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,期间客户业务不会受到影响。对于极少量不支持热升级方式的,腾讯云另行安排时间手动重启修复,这部分服务器腾讯云安全团队将会另行进行通知,协商升级时间。 漏洞修复过程中还存在一些问题,迫使我们采取了较为保守的策略 由于漏洞是芯片底层设计上的缺陷导致的,修复起来会非常复杂,同时难以完美修复。从目前的情况来看,漏洞很难通过CPU微码修复,更多是依赖于OS级的修复程序。 修复程序本身也存在诸多问题。以Windows 10为例,微软于北京时间1月4号凌晨紧急发布了1月份系统安全更新,但补丁存在明显的性能和兼容性的问题: [*]更新可能会让受影响的系统性能下滑30% [*]更新可能会导致部分软件(安全软件等)不兼容从而系统蓝屏 出于兼容性考虑,Windows Update并不会在所有的电脑环境中进行自动更新,而是在其认为软件比较兼容的情况下才会进行自动更新。另外,对于有需要更新的用户,可以通过下载微软相关补丁包,进行手动运行修复安全威胁。 根据我们的实际测试,性能问题对于普通用户来说,影响并不大:只有在极端的测试下,才会出现明显的性能问题;而正常的使用过程中一般不会出现。但是兼容性问题确实比较严重:在有安全软件,以及一些游戏的电脑上,安装补丁比较容易出现蓝屏现象。这也使得我们和其他安全厂商采取了比较保守的策略,暂时不主动推送微软的补丁,避免造成用户电脑无法正常使用。 此次漏洞会对普通用户产生影响吗? 虽然漏洞影响范围广泛,并引起全球关注,但受影响最大的主要是云服务厂商,对于普通用户来说,大可不必过于恐慌。 首先,虽然漏洞细节以及PoC已经公开,但是并不能直接运用于攻击。漏洞运用于真实攻击还有许多细节问题需要解决,目前也没有一个稳定通用,同时可以造成明显严重后果(窃取账号密码等)的漏洞利用代码;
其次,我们和其他安全厂商目前也还没有监控到利用这些漏洞进行的真实攻击,一旦出现真实攻击,我们将第一时间跟进,确保用户安全;
另外,对于普通用户而言,漏洞可造成的主要危害在于用浏览器访问了一个带有漏洞利用代码的网页,导致敏感信息(账号密码等)泄露。只要养成良好的上网习惯,不轻易点击陌生人发来的链接,基本不会受到漏洞影响;同时,浏览器针对漏洞发布的补丁和缓解措施简单有效,而且不会造成性能下降或兼容性问题,用户可以选择将浏览器升级到最新版本,从而避免受到漏洞攻击。 这些漏洞未来一段时间内仍然是各界关注的重点,我们的安全团队将对漏洞动态保持持续关注,同时对漏洞做更加深入的分析和研究,从而为广大用户提供更加准确的参考信息,以及更加可靠的解决方案。 本文为腾讯安全联合实验室知乎机构账号原创内容,转载请注明出处。 |
|
上一页
下一页