前言
最近幾天大家關心的話題之一,相信就是 CPU Speculative Execution漏洞議題,大家紛紛討論此次 CPU 漏洞造成的影響,並且這個漏洞不光影響一般企業或使用者,即便是雲端大廠 AWS, Azure, GCP 也都造成影響。相關資訊請參考下列連結:
- 英特爾鍋砸大了,處理器的記憶體洩露臭蟲讓 OS 業者全跳腳 | iThome
- Google: CPU 漏洞影響不只英特爾,還有 AMD 與 ARM | iThome
- 英特爾、ARM 與 AMD 相繼回應重大記憶體洩露漏洞 | iThome
- CPU「推測執行」漏洞已有 6 種概念性驗證攻擊出爐 | iThome
- CPU 漏洞:微軟釋出 Windows、Azure 安全更新 | iThome
- Google 針對 CPU「推測執行」漏洞補強 Android、Chrome 與 Google Cloud | iThome
- 降低 CPU 漏洞攻擊風險,AWS 更新 EC 2 執行個體 | iThome
- CPU 重大漏洞的風險有多高?美國 CERT 中心呼籲最好將問題 CPU 全換掉 | iThome
- 英特爾爆出重大漏洞的 CPU 產品曝光,不只 PC 處理器系列全遭殃連伺服器、工業電腦皆中招 | iThome
- 英特爾已修補 Meltdown、Spectre 漏洞 | iThome
- 蘋果:CPU 漏洞影響 iPhone、Mac 等所有蘋果平台,將陸續祭出修補 | iThome
- 修補 CPU 漏洞效能降多少?英特爾首度公開內測數據,筆電效能最多降 4%,伺服器約降 2% | iThome
- 10 個 Q&A 快速認識 Meltdown 與 Spectre 兩大 CPU 漏洞攻擊(內含各廠商修補進度大整理) | iThome
- 衝擊全球!CPU驚爆重大漏洞 | iThome
在 Windows Server及 Windows Client 的部分,則請參考微軟相關文章:
檢查是否更新完成
如果,你已經更新 BIOS / Firmware 及 Windows OS 相關更新後,該如何快速確認已經更新完畢,以便阻擋 CPU Speculative Execution 漏洞攻擊行為? 微軟已經發佈新的 SpeculationControl的 PowerShell 模組幫助你檢查,請以「系統管理員」身份執行 PowerShell 後鍵入「Install-Module SpeculationControl」指令即可進行安裝。
圖、安裝 SpeculationControl 的 PowerShell 模組
安裝完畢後,便可以執行「Get-SpeculationControlSettings」指令進行檢查,如下圖所示目前受檢查的主機皆尚未安裝 BIOS / Firmware 及 Windows OS 相關更新。
圖、尚未安裝 BIOS / Firmware 及 Windows OS 相關更新
請安裝硬體的 BIOS / Firmware 相關更新,至於 Windows OS 的部分以 Windows 10 來說便需要安裝 KB4056892安全性更新。
圖、為 Windows 10 安裝 KB4056892 安全性更新
安裝完畢並重新啟動主機後,再次執行「Get-SpeculationControlSettings」指令進行檢查,如下圖所示可以看到相關防護機制皆已啟動完成。
圖、更新完成並再次檢查後可發現相關防護機制皆已啟動完成
倘若,僅安裝 Windows OS 的相關更新但是硬體的 BIOS / Firmware 未更新的話,那麼執行檢查的結果可能如下圖所示:
圖、硬體 BIOS / Firmware 未更新的檢查結果