熔点和幽灵:修补或不修补 ESG调查:存储消费习惯成为“混合云定义” 哈佛芯片上的3D印刷心脏可能导致个性化医学突破 泄漏确认首席执行官在熔化和幽灵处理器缺陷后倾倒的英特尔股票 Apple将脚趾放在带有MacBook Pro Remake的触摸水域 云增长仍然是微软游戏的名称 俄罗斯订单可以阻止LinkedIn 现代零售:机器学习,客户体验和遗产 隐私小组目标儿童广告伪装成YouTube内容 FCC规则,ISP在销售数据之前需要同意,但谷歌和Facebook仍然没有 GDPR:ICO说,不要恐慌,但抓住机会建立信任 CityFibre在Aberdeen推出消费者宽带伙伴关系 摩托罗拉希望您创建下一个Moto Mods Skygofree Android Spyware自2014年以来,研究人员说 Azure将SQL Server Analysis Services带到云端 Microsoft在其硬件优先级列表上将量子计算更高 万维网发明家Tim Berners-Lee希望我们修复Web的错误 英特尔推出500种夜间光线展示的无人机 FCC告诉ISP在共享敏感信息之前获得客户许可 Microsoft Courts美国政府云用户拥有Azure堆栈集成承诺 A.I.白宫经济学家说,机器人并没有为您的工作而努力 警告报告,工业网络安全持续较差 业务需要减少网络威胁到支付卡数据 开放银行可以为英国经济带来额外的1亿英镑 报告显示,安全支出不是大多数有效的控制 另一种JVM语言?虽然采取了新的方法 CRAY瞄准500-PETAFLOP标记,XC50超级计算机 Ukcloud要为公共部门用户开立Microsoft Azure Stack Region 伦敦仍然是迁移技术人才的顶级城市 美国政府的代码.Gov软件共享网站推出 此恶意软件攻击从假客户服务呼叫开始 凝聚力将文件和对象添加到超融合的混合云 电信工业在重大举报点 基于云的网络分析向用户和应用程序钻取 劳里的爱计划使用“互联网作为一个力量” 紧急Flash Player修补程序修复零日临界缺陷 Tesla,Panasonic联合构建太阳能电池 用于物联网的Microsoft Open-Sources P语言 Hana和S / 4用户更复杂但通过许可疑惑困扰 企业面临前所未有的网络攻击量 在线风险可能意味着真实的后果 您需要了解今天的Windows安全修补程序 这是云的一年,说备巨头veeam 大学的IT外包可能引发歧视诉讼 超过四分之一的英国购物者为可穿戴的非接触式付款做好准备 2018年的每个论坛:非多样化人工智能的危险 Facebook停止英国的WhatsApp数据共享 如果微软失去了美国数据访问呼吁,隐私国际警告公民的全球风险 蒂姆厨师希望苹果与AR更美好 英国的优步司机是员工,法院规则
您的位置:首页 >运维 >

熔点和幽灵:修补或不修补

谷歌的熔点和幽灵加工机缺陷由谷歌的项目零队于1月初发现,IT行业已经开始发布贴片和热修复,以提供对潜在利用的保护程度。

基于由铁匠移动管理系统管理的公共,私人和第三扇区的设备的匿名和聚合数据的Seastudy发现,只有4%的移动设备为安装的熔点和幽灵漏洞有安全更新。

修补的缺点是某些应用程序和服务可以采取绩效命中,因为补丁倾向于关闭有可能被剥削的特定处理器优化。

对于企业而言,由于Microsoft,Intel,AMD和ARM等公司释放的安全补丁以及诸如截止日期措施的安全补丁,以及一些造成不相容问题的安全补丁。这有可能使其修补和工业系统更加复杂和耗时。

从长远来看,该修复物将由硬件制造商在新芯片组中推出 - 但据此需要多年。

即使新一代安全芯片释放,对于大多数组织之间的正常计算机硬件刷新周期,可能是在所有系统没有缺陷之前长时间。

“对于具有老化硬件的公司,修补程序可能是一种选择,但它将取决于新芯片组的开发,测试和发布生产使用情况,”趋势科技的主要安全战略家“笑话剧烈策略师表示有效。

鉴于熔化和幽灵是微处理器漏洞,它们的效果不限于智能手机,平板电脑,个人计算机和服务器。使用包含缺陷的芯片的网络设备和存储制造商正在推出补丁的过程中。嵌入式系统还需要修补。

它已被广泛报道,Microsoft的云端和幽灵的Windows更新影响了许多软件产品,例如Rockwell的出厂包装机界面工具,其经历了异常。

鉴于熔点和幽灵是微处理器漏洞,它们的效果不限于智能手机,平板电脑,个人电脑和服务器

“可能是任何使用来自英特尔,AMD和ARM的受影响芯片组的设备将对漏洞开放,”秘密“。对于IOT [Internet Internet]设备,智能电视和机顶盒,主要担忧是违反隐私,特别是如果威胁演员可以通过提取用户名和密码来接管设备。“

Mistry相信销售点终端和现金机器的风险可能更大。“恶意代码可用于拦截和操纵数据路径以进行非法增益。

在一个博客文章中,Indegy工业安全总监Chris Grove写道:“许多支持工业控制器,如自动化系统,批量控制系统,生产控制服务器,打印机,OPC系统,SCADA系统,外围设备和IIT [工业IOT]设备,包括摄像机和传感器的设备,最有可能脆弱。”

格罗夫警告说,许多企业的挑战是识别哪些控制系统可能受到影响。

幸运的是,并非每个设备都会受到处理器缺陷的影响。例如,条形码读者制造商Denso,Toyota的一部分发表了一份声明,称其手持设备不会利用熔点和幽灵利用的特定处理器优化。

其他公司已直接受到影响,需要修补,但其中一些贴片导致故障。

“硬件和操作系统供应商提出的许多初始缓解表明,施耐德电气警告施导电,推荐谨慎,如果将减轻和/或性能约束的系统应用于临界和/或性能约束的系统,建议谨慎的潜在性能影响。

UK Industrial Systems公司Wonderware发布以下声明:“运行Wonderware Historion软件的客户不应应用Microsoft补丁。已经发现了历史学家系统驱动程序的问题。“

有许多因素限制了崩溃和幽灵的潜在风险。首先,入侵者需要攻击已知具有漏洞的系统。入侵者还需要对易受攻击的系统进行物理访问,并且需要有能力在该系统上安装和运行漏洞。

这些将限制崩溃和幽灵可能导致漏洞的潜在损害。但是,他们代表了缺陷,它妥协了微处理器本身,行业现在面临的问题是微处理器缺陷将成为黑客的新攻击向量。

该行业的回答这一新风险,基于到目前为止抵消抵消和幽灵,远非令人满意。正在发出补丁,但许多用户不更新他们的智能手机,一些修补程序正在导致软件分解。

由于其公共性质及其有效性,趋势科技司网络安全研究副总裁Rik Ferguson预计安全研究人员将继续具有更大的热情的微处理器。

“幽灵和崩溃一直是为什么微处理器的非常有限的微处理器生态系统成熟的图形,高度公布和普遍的例子是研究和剥削,”义夫斯顿“。处理器占据了计算机架构的特权位置,并且在这方面的缺陷,特别是缺陷可以远程剥夺,确实是非常有价值的。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。