騰訊Spectre漏洞檢測(cè)工具

騰訊Spectre漏洞檢測(cè)工具專門為在近期突出發(fā)現(xiàn)的CUP漏洞準(zhǔn)備的一個(gè)專業(yè)的查詢工具，由騰訊玄武實(shí)驗(yàn)室制作，現(xiàn)在用戶能通過(guò)這個(gè)工具快速檢測(cè)自己電腦是否有安全隱患，相信不少的小伙伴都會(huì)需要，趕緊檢查吧！

Spectre官方介紹

近期披露的名為“幽靈”的 CPU 漏洞（Spectre，CVE-2017-5753、CVE-2017-5715）對(duì)個(gè)人用戶最大的風(fēng)險(xiǎn)是通過(guò)瀏覽器發(fā)起攻擊，進(jìn)而竊取郵箱、網(wǎng)盤等賬戶信息。

此工具可檢測(cè)您的瀏覽器是否易于遭受“幽靈”漏洞的攻擊。

如果檢測(cè)結(jié)果表明您的瀏覽器易于遭受攻擊，則說(shuō)明風(fēng)險(xiǎn)真實(shí)存在。但由于可能存在未知攻擊方法，所以如果檢測(cè)結(jié)果表示您的瀏覽器不易遭受攻擊，并不一定表明您的系統(tǒng)不存在漏洞。

此工具還在完善中，請(qǐng)保持關(guān)注。

Spectre是什么

1月4日，國(guó)外安全研究機(jī)構(gòu)公布了兩組CPU漏洞：

Meltdown（熔斷），對(duì)應(yīng)漏洞CVE-2017-5754；

Spectre（幽靈），對(duì)應(yīng)漏洞CVE-2017-5753/CVE-2017-5715。

由于漏洞嚴(yán)重而且影響范圍廣泛，引起了全球的關(guān)注。利用Meltdown漏洞，低權(quán)限用戶可以訪問(wèn)內(nèi)核的內(nèi)容，獲取本地操作系統(tǒng)底層的信息；當(dāng)用戶通過(guò)瀏覽器訪問(wèn)了包含Spectre惡意利用程序的網(wǎng)站時(shí)，用戶的如帳號(hào)，密碼，郵箱等個(gè)人隱私信息可能會(huì)被泄漏；在云服務(wù)場(chǎng)景中，利用Spectre可以突破用戶間的隔離，竊取其他用戶的數(shù)據(jù)。Meltdown漏洞影響幾乎所有的IntelCPU和部分ARMCPU，而Spectre則影響所有的IntelCPU和AMDCPU，以及主流的ARMCPU。從個(gè)人電腦、服務(wù)器、云計(jì)算機(jī)服務(wù)器到移動(dòng)端的智能手機(jī)，都受到這兩組硬件漏洞的影響。

這兩組漏洞來(lái)源于芯片廠商為了提高CPU性能而引入的新特性�，F(xiàn)代CPU為了提高處理性能，會(huì)采用亂序執(zhí)行(Out-of-OrderExecution)和預(yù)測(cè)執(zhí)行(SpeculativePrediction)。亂序執(zhí)行是指CPU并不是嚴(yán)格按照指令的順序串行執(zhí)行，而是根據(jù)相關(guān)性對(duì)指令進(jìn)行分組并行執(zhí)行，最后匯總處理各組指令執(zhí)行的結(jié)果。預(yù)測(cè)執(zhí)行是CPU根據(jù)當(dāng)前掌握的信息預(yù)測(cè)某個(gè)條件判斷的結(jié)果，然后選擇對(duì)應(yīng)的分支提前執(zhí)行。亂序執(zhí)行和預(yù)測(cè)執(zhí)行在遇到異�；虬l(fā)現(xiàn)分支預(yù)測(cè)錯(cuò)誤時(shí)，CPU會(huì)丟棄之前執(zhí)行的結(jié)果，將CPU的狀態(tài)恢復(fù)到亂序執(zhí)行或預(yù)測(cè)執(zhí)行前的正確狀態(tài)，然后選擇對(duì)應(yīng)正確的指令繼續(xù)執(zhí)行。這種異常處理機(jī)制保證了程序能夠正確的執(zhí)行，但是問(wèn)題在于，CPU恢復(fù)狀態(tài)時(shí)并不會(huì)恢復(fù)CPU緩存的內(nèi)容，而這兩組漏洞正是利用了這一設(shè)計(jì)上的缺陷進(jìn)行測(cè)信道攻擊。

專業(yè)問(wèn)題看不懂的用戶，直接監(jiān)測(cè)后修補(bǔ)就行了�。�！

相關(guān)視頻