Sarah Chuang ( 莎拉老師 )

這兩天爆發了 Meltdown 與 Specture 漏洞引發了熱烈的討論, 根據Google Project Zero 發佈的說明,

https://googleprojectzero.blogspot.tw/2018/01/reading-privileged-memory-with-side.html

此次發現的漏洞有三個, 分別是

         CVE-2017-5753(跳過邊界檢查)、

         CVE-2017-5715(分支目標注入)、

         CVE-2017-5754(惡意資料快取存取)

前兩者被命名為 "Spectre", 第三個被命名為 "Meltdown", 這兩類漏洞都與記憶體隔離有關, 尤其Meltdown對於安全性的影響較為直接嚴重.

微軟官方公告: https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released

會建議更新以系統的 Windows Update 來自動修補,

若需要手動更新的話, 以下官方網站有列出各版本系統對應的KB list

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

我針對幾個主要的稍微列出如下:

          Windows 10 1709 : 4056892

          Windows 10 1703 : 4056891

          Windows 10 1607  && Server 2016 : 4056890

          Windows 10 1511 : 4056888

          Windows 10 1507 : 4056893

          Windows 8.1  && Server 2012 R2 : 4056898

          Server 2012 : 4056899

          Windows 7 SP1 : 4056897

可以直接從這邊下載 https://portal.msrc.microsoft.com/en-us/security-guidance