Intel嚴重漏洞 OS更新將會降低效能 - 3C

昨晚開始微軟陸續對WIN7、WIN8、WIN10等各版本的作業系統
推送Meltdown修補程式，
如果你的Windows更新遲遲沒有收到更新通知，
有可能是因為修補程式和系統上的防毒軟體不相容，
為了避免引發系統當機藍屏所以被延遲了推送，
Kevin Beaumont製作了一個表格列出目前已知
相容和不相容Meltdown修補程式的防毒軟體
https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0
https://goo.gl/tdzLwa

相容
Kaspersky, ESET, Avast, Symantec/Norton, F-Secure, Windows Defender

不相容
Sophos, Trend Micro, McAfee, Bitdefender, Webroot
需等待防毒軟體推出相容性修正後才能更新


其他軟硬體和服務商目前的對策：

AMD: 官方表示目前揭露的三種攻擊
1. Bounds Check Bypass (CVE-2017-5753)
可由軟體/OS更新來解決，對效能影響極小

2. Branch Target Injection (CVE-2017-5715 也就是Spectre)
由於架構的不同，AMD"相信"受到這個攻擊而洩漏資料的風險趨近0

3. Rogue Data Cache Load (CVE-2017-5754 也就是Meltdown)
AMD表示完全免疫Meltdown
https://www.amd.com/en/corporate/speculative-execution

Intel: 不是只有我，大家都有問題
Recent reports that these exploits are caused by a “bug” or a “flaw”
and are unique to Intel products are incorrect.
Based on the analysis to date, many types of computing devices
— with many different vendors’ processors and operating systems
— are susceptible to these exploits.
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

ARM: 受影響的處理器列表
https://developer.arm.com/support/security-update



Android: Google的裝置已在1月2號推送安全性更新，
其他廠商需等待廠商推送更新

macOS: 蘋果目前還沒有官方說明，不過根據Alex Ionescu表示，
Sierra 10.13.2已在12月3號的時候修補了這個問題
https://twitter.com/aionescu/status/948609809540046849

iOS: 目前還沒有官方說明

Linux: 開發人員已經為此工作了好幾個月，
許多發行版已經修補了這個問題

Chrome OS: 已在12月15號的v63修補

Google Chrome 瀏覽器: 將會在1月23號發行的v64修補這個問題，
在這之前，Google建議使用者打開v63的Strict Site Isolation功能，
不過開啟這個功能會增加Chrome使用的記憶體

Mozilla Firefox: 已推送57.0.4版本更新緩解

Apple Safari: 目前沒有說明



Amazon AWS:
https://aws.amazon.com/tw/security/security-bulletins/AWS-2018-013/

Microsoft Azure:
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released

VMware: 官方列出受到影響的版本以及更新修補程式
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html



Nvidia: 官方的聲明指出，"相信"自家的GPU免疫上述的漏洞，
同時會更新驅動幫助緩解CPU的安全性問題。



來源
https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/
https://goo.gl/ScfMbQ

https://www.tomsguide.com/us/meltdown-spectre-fixes,news-26326.html
https://goo.gl/6fydnw

--