芯片漏洞新进展:NVIDIA更新GPU驱动以应对漏洞;IBM开始发放补丁;相关补丁导致Ubuntu 16.04版本出...

2018-01-13 11:00:32来源:http://www.freebuf.com/news/159945.html作者:FreeBuf人点击

分享
第七城市th7cn

Meltdown 和Spectre 漏洞事件仍在发酵,本文送上今天份的更新。更多内容可进入 FreeBuf 的“芯片底层漏洞”专题查看。


NVIDIA 更新 GPU 驱动以应对漏洞


近日,NVIDIA 发布其 GPU 显示驱动和其他产品的更新,以帮助解决 CPU 中 Meltdown 和Spectre 漏洞带来的问题。


这两个漏洞爆出后不久,NVIDIA 公司就宣称其 GPU 硬件可以“免疫”,不受攻击。但是与高通类似,NVIDIA 有一些芯片系统(SoC)产品依赖于 ARM 的 CPU,因此他们也承诺会更新 GPU,来解决 CPU 可能遇到的问题。周二,NVIDIA 向客户通报GPU 显示驱动程序已经更新,更新内容包括针对 Specter 漏洞(特别是 CVE-2017-5753)的缓解措施。目前,NVIDIA 仍在确认 Specter 的第二个漏洞 CVE-2017-5715 是否会影响其 GPU 驱动程序。可以确定的是,尚未有迹象表明 GPU 驱动程序受到 Meltdown 漏洞(CVE-2017-5754)的影响。


NVIDIA 已经为 Windows 和 Linux 版本的 GeForce、Quadro 和 NVS 显卡提供了显示驱动程序更新。而在 Tesla GPU 中,仅针对 R384 分支提供了更新,R390 的更新预计将在 1 月 22 日那周提供。关于GRID 虚拟 GPU 解决方案更新预计要到月底才能完成。


此外,NVIDIA 还发布了基于 Android 的 Shield TV 媒体播放器 和 Shield Tablet 以及围绕 Tegra 移动处理器构建的 Jetson 嵌入式系统 的更新。其中,只有 Jetson TX2 更新 包含所有三个 CPU 漏洞的修复措施,而其他更新仅针对 CVE-2017-5753 以及部分情况下的 CVE-2017-5715(即 Specter 漏洞之一)进行修复。


之前我们报道过补丁带来性能下降的问题,不过 NVIDIA 目前没有提供与此相关的信息。


IBM 开始发放补丁,预计 2 月底全面修复


IBM已经开始发布其 POWER 处理器的固件补丁,以修复 Meltdown 和 Spectre 漏洞,此外,IBM 还将针对自己的操作系统(AIX和IBM i)进行更新,但预计下个月(2 月 12 日左右)才能发布补丁。


1 月 4 日漏洞曝出后,IBM 就 告知用户 已经开始分析漏洞对其产品的影响。本周二,IBM 表示其 POWER 处理器受到影响 ,客户只有安装固件和操作系统补丁,才能让 Power Systems 服务器系列产品避免攻击。不过,IBM 的存储设备不受这些漏洞的影响。


目前 IBM 发布了 POWER7 + 和 POWER8 处理器的固件补丁,预计到 1 月 15 日,补丁可用于 POWER9 系统。早期产品的用户也依然受到支持,晚一些会收到相关固件更新。如果用户的设备运行 Linux 系统,可以从各自的供应商处获取操作系统补丁。 RedHat、SUSE 和 Canonical 已经发布了修复程序。与 NVIDIA 一样,IBM 也没有提及任何有关性能影响的内容。


IBM 表示:“如果这个漏洞对用户的计算机环境构成风险,那么可以采取的第一个防护措施其实是大多数组织已经拥有的防火墙和安全工具。


相关补丁导致 Ubuntu 16.04 版本出现 boot 问题


最近, 有 Ubuntu Xenial 16.04 的用户表示,打了 Meltdown 和 Spectre 补丁之后,系统无法启动,并被迫回滚到早期的 Linux 内核镜像。


Canonical 公司于 1 月 9 日了 Linux 内核镜像 4.4.0-108,加入到 Ubuntu Xenial 16.04 用户安全更新版本中,用以应对 Meltdown 和 Spectre 漏洞。在 Ubuntu 安全通告 USN-3522-1 页面和 Ubuntu Wiki 页面都能看到相关更新。


结果,大量用户在 Ubuntu 论坛、Ubuntu 的 Launchpad 错误跟踪器和 Reddit 线程中报告更新之后出现问题。所有报告问题的用户都表示,升级到 Ubuntu 16.04(内核映像 4.4.0-108)后系统无法启动。目前显示,只有运行 Xenial 16.04 系列的 Ubuntu 用户才会受到影响。


今天早上刚刚更新了4.4.0-108的通用版本,启动失败。


是的 ,这里也一样。更新之后启动屏幕被锁定了。


Canonical发言人对此问题没有正面回应,但在几小时前发布了 Linux kernel kernel 4.4.0-109 的两个新的 Ubuntu 16.04 更新[ 1 , 2 ]。有用户表示新的内核更新比较正常,没有出现问题。对于那些受影响的用户而言,回滚到内核映像 4.4.0-104 也可以解决 boot 问题。


Meltdown 的 POC 在 Github 上公开

安全研究人员在 GitHub 上公开了利用 Meltdown 漏洞的POC。Meltdown 影响英特尔的现代处理器,无法只靠微码更新修复,主要操作系统都已经发布了减少漏洞影响的补丁。POC 包含五个 Demo,演示了不同实例,主要演示平台是 Ubuntu 16.04 和 Core i7-6700K,但在使用 2010 年之后版本英特尔处理器的任何 Linux 系统上都能实现。


以下是 POC 的五个演示视频:


1、Meltdown 可用于监视实时密码输入过程


看不到?点 这里


2、Meltdown 可泄露物理内存内容


看不到?点 这里


3、 Meltdown 可从内存中重构图片


看不到?点 这里


4、 Meltdown从内存中重构使用FLIF加密的图片


看不到?点 这里


5、Meltdown 可泄露未缓存的内存


看不到?点 这里


*参考来源:SecurityWeek[ 1 , 2 ], bleepingcomputer ,AngelaY 编译整理,转载请注明来自 FreeBuf.COM。


第七城市th7cn

最新文章

123

最新摄影

闪念基因

微信扫一扫

第七城市微信公众平台