国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

近期通用CPU處理器內(nèi)核被爆出多個(gè)安全漏洞，這些漏洞允許用戶繞過(guò)芯片及系統(tǒng)的安全設(shè)置去讀取任意內(nèi)核中的數(shù)據(jù)，由于是CPU層級(jí)的漏洞，這些漏洞理論上影響所有使用通用CPU的操作系統(tǒng)和軟件。對(duì)于物理單機(jī)操作系統(tǒng)來(lái)說(shuō)，利用該漏洞低權(quán)限的用戶可以獲取高權(quán)限的系統(tǒng)內(nèi)核數(shù)據(jù)；對(duì)于云主機(jī)（虛擬主機(jī)）的影響是利用該漏洞任意一個(gè)虛擬主機(jī)用戶都可以繞過(guò)虛擬軟件的限制讀取同平臺(tái)下其他虛擬主機(jī)中的數(shù)據(jù)；對(duì)于軟件的影響則是允許繞過(guò)安全限制讀取同操作系統(tǒng)下其他任意軟件的內(nèi)存數(shù)據(jù)，如利用惡意的瀏覽器腳本讀取其他網(wǎng)站的Cookie信息等。目前各硬件廠商、系統(tǒng)廠商和軟件廠商都在為相關(guān)漏洞發(fā)布補(bǔ)丁程序，相關(guān)漏洞的影響可能會(huì)持續(xù)很長(zhǎng)一段時(shí)間，需要用戶持續(xù)關(guān)注。

隨著各學(xué)校對(duì)校園出口限制的逐步解封，網(wǎng)站及信息系統(tǒng)的安全問(wèn)題數(shù)量有增加趨勢(shì)。

近期沒(méi)有新增影響特別廣泛的蠕蟲或木馬病毒。

1、微軟1月的例行安全更新中修補(bǔ)了56個(gè)安全漏洞，包括嚴(yán)重等級(jí)的16個(gè)，重要等級(jí)39個(gè)，一般等級(jí)1個(gè)。涉及Windows系統(tǒng)，IE瀏覽器、 Edge瀏覽器，Office軟件及ASP.NET。

這些漏洞中需要關(guān)注的是Office軟件的一個(gè)高危漏洞（CVE-2018-0802），漏洞存在于Office軟件的公式編輯器中，攻擊者可以構(gòu)造包含惡意攻擊代碼的文檔引誘用戶點(diǎn)擊，一旦用戶打開了這個(gè)文檔就會(huì)以當(dāng)前用戶的權(quán)限執(zhí)行任意代碼。目前互聯(lián)網(wǎng)上已經(jīng)檢測(cè)到利用該漏洞的惡意程序，用戶應(yīng)該使用系統(tǒng)的自動(dòng)更新功能來(lái)及時(shí)安裝相應(yīng)的補(bǔ)丁程序。除了例行的安全修補(bǔ)外，微軟也針對(duì)CPU的通用漏洞發(fā)布了專門的補(bǔ)丁更新，Win10用戶可以使用自動(dòng)更新或是下載更新包安裝，而Win7/8用戶則需要通過(guò)自動(dòng)更新功能來(lái)進(jìn)行修補(bǔ)。

2、現(xiàn)代通用處理器（CPU）的運(yùn)作機(jī)制中存在兩個(gè)用于加速執(zhí)行的特性，推測(cè)執(zhí)行（Speculative Execution）和間接分支預(yù)測(cè)（Indirect Branch Prediction）。推測(cè)性執(zhí)行是一種優(yōu)化技術(shù)，CPU會(huì)基于猜測(cè)或概率的角度，在當(dāng)前的指令或分支還未執(zhí)行完成前就開始執(zhí)行可能會(huì)被執(zhí)行的指令或分支，如果猜測(cè)正確，則直接繼續(xù)執(zhí)行，以此加速CPU的執(zhí)行進(jìn)度。如果猜測(cè)失敗，則取消該操作進(jìn)行回滾，回滾的過(guò)程并不影響CPU的處理速度。這種預(yù)測(cè)執(zhí)行的方式能夠有效提高CPU的執(zhí)行速度，但是也帶來(lái)了安全風(fēng)險(xiǎn)。盡管CPU架構(gòu)狀態(tài)會(huì)被快速回滾，但是TLB和緩存狀態(tài)并不會(huì)很快回滾，攻擊者通過(guò)尋找或構(gòu)建一些指令就可以在CPU回滾的時(shí)間窗口里進(jìn)行一系列的越權(quán)訪問(wèn)，造成內(nèi)核中的數(shù)據(jù)泄漏。目前類似的攻擊方式有三種：

a）邊界檢查繞過(guò)（CVE-2017-5753）——通過(guò)污染分支預(yù)測(cè)，來(lái)繞過(guò)kernel或hypervisor的內(nèi)存對(duì)象邊界檢測(cè)。比如，攻擊者可以對(duì)高權(quán)級(jí)的代碼段，或虛擬環(huán)境中hypercall，通過(guò)構(gòu)造的惡意代碼來(lái)觸發(fā)有越界的數(shù)據(jù)下標(biāo)，造成越界訪問(wèn)。

b）分支目標(biāo)注入（CVE-2017-5715）——污染分支預(yù)測(cè)。抽象模型比較好的代碼往往帶有間接函數(shù)指針調(diào)用的情況，CPU在處理時(shí)需要會(huì)進(jìn)行必要的內(nèi)存訪問(wèn)，這個(gè)過(guò)程有點(diǎn)慢，所以CPU會(huì)預(yù)測(cè)分支。攻擊者可以通過(guò)類似的ROP的方式來(lái)進(jìn)行信息泄露。

c）流氓數(shù)據(jù)加載（CVE-2017-5754）——部分CPU上，為了速度并不是每次都對(duì)指令作權(quán)限檢查的，檢查的條件存在一定的缺陷。

其中CVE-2017-5754漏洞可以用來(lái)破壞用戶程序和操作系統(tǒng)之間的基本隔離，允許攻擊者未授權(quán)訪問(wèn)其他程序和操作系統(tǒng)的內(nèi)存，獲取其他程序和操作系統(tǒng)的敏感信息，被稱為Meltdown漏洞。CVE-2017-5715和CVE-2017-5753可以用來(lái)破壞不同應(yīng)用程序之間的隔離，允許攻擊者讀取其他程序的敏感數(shù)據(jù)，被稱為Spectre漏洞。利用Meltdown漏洞攻擊者可以獲取操作系統(tǒng)底層核心數(shù)據(jù)。在虛擬化環(huán)境下，可以繞過(guò)安全限制讀取其他操作系統(tǒng)的信息。利用Spectre漏洞，攻擊者可以獲取其他程序的敏感信息，例如通過(guò)瀏覽器腳本獲取用戶的cookie信息等。目前相關(guān)漏洞涉事的硬件廠商、系統(tǒng)廠商和軟件廠商均針對(duì)上述漏洞發(fā)布了安全公告和補(bǔ)丁程序，用戶應(yīng)該隨時(shí)關(guān)注廠商的動(dòng)態(tài)，及時(shí)更新相應(yīng)的補(bǔ)丁程序。

3、1月16日Oracle公司發(fā)布了今年第一季度的安全更新，修復(fù)了其產(chǎn)品線中存在的238個(gè)安全漏洞，包括：Oracle數(shù)據(jù)庫(kù)（5個(gè)）、MySQL數(shù)據(jù)庫(kù)（25個(gè)）、電子商務(wù)套裝軟件OracleE-Business Suite（7個(gè)）、中間件產(chǎn)品Fusion Middleware（27個(gè)）、OracleSiebel托管型CRM軟件（2個(gè)）；JD Edwards產(chǎn)品（2個(gè)）、PeopleSoft產(chǎn)品（15個(gè)）；Communications Applications（10個(gè)）、Constructionand Engineering Suite（1個(gè)）、FinancialServices Applications（34個(gè)）、Health Sciences Applications（7個(gè)）、HospitalityApplications（21個(gè)）、Hyperion（4個(gè)）、Java SE（21個(gè)）、Retail Applications（12個(gè)）、SunSystems Products Suite（13個(gè)）、Supply Chain Products Suite（3個(gè)）和Virtualization（14個(gè)）。這238個(gè)漏洞中有123個(gè)屬于高危漏洞，有216個(gè)可以遠(yuǎn)程利用。需要特別關(guān)注的是，25個(gè)Mysql數(shù)據(jù)庫(kù)漏洞中有6個(gè)允許攻擊者無(wú)需驗(yàn)證就可以遠(yuǎn)程連接Mysql數(shù)據(jù)庫(kù)。建議相關(guān)的管理員盡快安裝相應(yīng)的補(bǔ)丁程序。

目前各廠商都針對(duì)CPU漏洞發(fā)布了自己的補(bǔ)丁程序，但是部分補(bǔ)丁程序存在缺陷，可能導(dǎo)致系統(tǒng)異常或者系統(tǒng)性能下降，包括：

1、Intel針對(duì)CPU相關(guān)的漏洞發(fā)布的第一版補(bǔ)丁程序存在缺陷，一些早期的型號(hào)的CPU安裝了相關(guān)補(bǔ)丁后可能會(huì)導(dǎo)致系統(tǒng)反復(fù)重啟，目前intel廠商已經(jīng)要求電腦生產(chǎn)商門暫停安裝該補(bǔ)丁，新的補(bǔ)丁即將發(fā)布，建議用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)。

2、微軟官方信息顯示，Spectre Varient1（CVE-2017-5753）和Meltdown Varient 2（CVE-2017-5754）漏洞補(bǔ)丁修復(fù)對(duì)CPU性能影響較小。Spectre Varient2（CVE-2017-5755）漏洞補(bǔ)丁導(dǎo)致CPU性能損失的主要原因是對(duì)底層的指令集做了修改，由于Window 7/8系統(tǒng)在架構(gòu)時(shí)使用了過(guò)多的受影響指令，可能會(huì)對(duì)系統(tǒng)的運(yùn)行速度帶來(lái)影響。