|
本帖最后由 help01 于 2018-1-7 10:24 编辑
1、是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
这次主要是Meltdown和Spectre两个安全漏洞,Meltdown可以允许低权限、用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露,会影响到台式、笔记本和云设备;而Spectre则可以骗过安全检查程序,使得应用程序访问内存的任意位置,除了会影响到台式、笔记本和云设备,还会额外影响智能手机,对云服务提供商的威胁更大。每一个1995年后的处理器都会受到这个漏洞影响,所有芯片厂商(Intel, AMD, ARM)和主要的操作系统(Windows, Linux, macOS, Android, ChromeOS)、云服务提供者 (Amazon, Google, Microsoft) 都会有影响。
2、关于该事件,有哪些可行性的修复方法?
1)升级网页浏览器到最新版。现在恶意攻击主要是通过联网进行,所以网页浏览器是一道不可忽视的防线,微软已经放出了新版Edge和IE浏览器封堵漏洞,Google、苹果将在之后的Chrome 64和Safari提供安全补丁,Firefox可更新到57版来修补。
2)升级操作系统最新安全补丁。微软已于近日为Windows 10推送了安全补丁更新,而苹果早在去年十二月的IOS11.2和macOS 10.13.2上针对Meltdown做了缓解措施。
3)根据电脑主板的型号到厂商官方网站查询支持信息,看是否有新版固件、BIOS升级。
3、是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
为解决该安全问题,腾讯云将于北京时间2018年1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,期间客户业务不会受到影响。对于极少量不支持热升级方式的服务器,腾讯云另行安排时间手动重启修复。
云服务商亚马逊,则在弹性计算云系统EC2中进行了漏洞修复,并发布了通告。
其他诸如华为,阿里,金山,微软,京东,百度等服务商都准备或已经启动应急措施推进漏洞修复。 |
|