如何在 Linux Ubuntu 上处理 Meltdown 和 Spectre

Meltdown 和 Spectre 是最新和最普遍的漏洞,可以让他们抬起丑陋的脑袋。 它们几乎攻击了世界上的每一台计算机,这并不夸张。 但它们到底是什么?

两者都是大多数处理器设计方式的核心缺陷。 崩溃主要影响英特尔 CPU 和一些 ARM(手机)处理器。 另一方面,Spectre 几乎影响每一个处理器。 更糟糕的是,Spectre 有两种不同的变体,它们在不同的 CPU 行为上发挥作用。

Meltdown 和 Spectre 都使用现代 CPU 的预期行为来访问存储在计算机内存中的信息。 该信息应该只能由特权系统进程访问,但 Meltdown 和 Spectre 都绕过该信息的任何障碍,通过已建立的通道(CPU)访问该信息,并在最低最基本的级别进行访问。

那么这到底是什么意思呢? 通过使用 Meltdown 或 Spectre 漏洞,攻击者或恶意软件可以窥探您系统上运行的其他进程并窃取其信息。 这意味着它可以访问通过其他程序运行的密码或其他敏感信息,而无需实际修改它们或安装任何东西。

你应该担心吗?

当谈到 Meltdown 和 Spectre 时,您应该担心但不要惊慌失措。 目前还没有任何记录在案的任何一个漏洞实际被使用的案例。 这意味着软件和硬件制造商仍有时间解决这些问题,然后您才真正需要担心受到任何一种攻击。

幽灵

不过要注意。 现在一场比赛正在进行中。 攻击者将寻找利用这些漏洞攻击人的方法。 与此同时,安全研究人员和软件开发人员正在努力向公众发布补丁以减轻漏洞利用。 留意来自两个方面的消息。

你可以做些什么来防止 Linux Ubuntu 上的 Meltdown 和 Spectre

Ubuntu Spectre 崩溃进度

首先,您可以自己做的事情不多,只能观察并等待更新。 值得庆幸的是,已经有很多可用于 Ubuntu 的更新。 您只需要安装它们。

笔记:相同的规则适用于大多数 Linux 发行版。 将您的操作系统更新到最新版本,您应该是安全的。

内核

可用于 Ubuntu 16.04、17.10 和 18.04 的内核都已针对 Meltdown 进行了修补。 如果您正在运行任何最新版本的 Ubuntu,请确保更新您的系统,或者至少确保您拥有最新的可用内核。 安装内核后重新启动系统以确保它已加载并运行。

编译器

Spectre 第二版的修复程序正在通过编译器实现。 编译器可以改变软件的构建方式以减轻 Spectre v2.1 的影响。

海合会

海合会

Spectre v2 的修复已添加到 GCC 7.3。 Ubuntu 还没有将它添加到它的存储库中,他们也没有用它构建他们的包。 最终,较新版本的 Ubuntu 将包含使用 GCC 7.3 或更高版本构建的软件包。 旧版本可能会将修复程序反向移植到 GCC 的早期版本。

无论哪种情况,您都无能为力。 相信 Canonical 会迅速解决这个问题。 如果您构建自己的软件,请注意存储库中的 GCC 7.3 或正在反向移植的补丁的新闻。

LLVM

LLVM

LLVM 的情况与 GCC 的情况非常相似。 修复程序已在 LLVM 7 分支中实现,甚至还没有发布。 LLVM 开发人员已将补丁向后移植到 LLVM 6 和 LLVM 5。如果您正在运行其中任何一个,那么实际上很有可能您已经在系统上安装了补丁。 再次,留意更新。

网络浏览器

网络浏览器也参与了这个混乱的方程式。 Spectre 可以通过 JavaScript 被利用。 因此,开放 Web 上的代码实际上可用于使用 Spectre 攻击您的系统。 不过,普通浏览器正在被修补以防范 Spectre。

Firefox

Firefox

如果您还没有使用最新版本的 Firefox, 你应该。 这实际上是一个巨大的改进。 比那更多的, Firefox 57.0.4 已针对 Spectre 进行了修补。 默认情况下,它应该在存储库中可用。 如果您发现自己无法安装它,请从 Mozilla 获取通用 Linux 版本,然后在本地运行它,直到它可用为止。

Google Chrome

Google Chrome

谷歌补丁 Chrome 64对幽灵。 这意味着两者 Google Chrome 64 和 Chromium 64 应该包含所有必要的补丁来缓解漏洞。 如果您尚未更新浏览器,请执行此操作。

最后的笔记

Meltdown 和 Spectre 是一个大问题,但正在取得进展。 开源社区最令人惊奇的方面之一是它的适应能力。 安全问题来来去去,当涉及到开源项目时,它们通常会很快消失。 只要您不断更新 Ubuntu,您就不必担心 Meltdown 或 Spectre 的影响很长时间。

图片来源: 在其中一个 cpu 上带有红色幽灵符号的芯片网格 通过存款照片

订阅我们的新闻!

我们的最新教程直接发送到您的收件箱

注册所有时事通讯。 注册即表示您同意我们的隐私政策并且欧洲用户同意数据传输政策。 我们不会共享您的数据,您可以随时取消订阅。 订阅