V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
boywhp
V2EX  ›  程序员

这次的 CPU 漏洞补丁你会打吗?

  •  
  •   boywhp · 2018-01-15 12:02:34 +08:00 · 11188 次点击
    这是一个创建于 2486 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这次的 CPU 漏洞补丁你会打吗?我反正肯定不会打这个补丁的 我机器杀毒软件都不安装, 你跟我说打 CPU 补丁? 影响性能的补丁和杀软我容不下

    69 条回复    2018-01-16 11:24:55 +08:00
    Mac
        1
    Mac  
       2018-01-15 12:09:08 +08:00
    我的笔记本 WIN10 根本没更新到这个补丁
    Tink
        2
    Tink  
       2018-01-15 12:09:31 +08:00 via iPhone
    crysislinux
        3
    crysislinux  
       2018-01-15 12:24:22 +08:00 via Android
    那你就不打呗,还有啥问头。反正要装后续的更新都得把这个更新给你装上再说
    loading
        4
    loading  
       2018-01-15 12:25:17 +08:00 via Android

    我是 linux,我都打。
    onsale
        5
    onsale  
       2018-01-15 12:30:33 +08:00
    你的服务器打补丁了吗 ?
    Osk
        6
    Osk  
       2018-01-15 12:34:52 +08:00 via Android
    要跑虚拟机,吓得赶紧打了
    jasontse
        7
    jasontse  
       2018-01-15 12:37:41 +08:00 via iPad   ❤️ 6
    由不得你选择,反正以后的任何系统都是修复过的,除非你一辈子停在这个系统版本。
    realpg
        8
    realpg  
       2018-01-15 12:38:31 +08:00   ❤️ 1
    windows 不打
    linux 打完关了选项

    除了给直接散户的 VPS 母鸡
    hjc4869
        9
    hjc4869  
       2018-01-15 12:40:07 +08:00 via iPhone
    补丁都是要装的,视情况关掉 protection
    boywhp
        10
    boywhp  
    OP
       2018-01-15 12:45:05 +08:00   ❤️ 1
    本人 07 年开始从事网络安全行业, 这次传得沸沸扬扬的 CPU 漏洞其实并不是特别严重, 需要在宿主机器上执行代码才能泄露操作系统内核地址的内存数据。个人认为危害甚至不如前几年的 SSL 心血漏洞危害大,炒作成份比较大。因此强烈建议个人用户不要打这个补丁,得不偿失。
    pelloz
        11
    pelloz  
       2018-01-15 12:49:39 +08:00
    话说哪位高人可以告诉我,win10 系统自动升级的这个补丁怎么才能关掉?我不在乎这个漏洞啊,但是我不想损失性能
    evagreenworking
        12
    evagreenworking  
       2018-01-15 12:49:50 +08:00 via Android
    Windows 只能打 Linux 可以 pti =off 反正只跑些开源 来路可信的包
    Love4Taylor
        13
    Love4Taylor  
       2018-01-15 12:54:00 +08:00
    @pelloz #11 以前有个工具可以忽略某个指定的补丁 好像...
    giuem
        14
    giuem  
       2018-01-15 12:54:58 +08:00 via iPhone
    不打,对普通用户影响不大
    zjsxwc
        15
    zjsxwc  
       2018-01-15 12:55:30 +08:00 via Android
    我 macOS 还在 10.13.1
    a272184745
        16
    a272184745  
       2018-01-15 12:55:53 +08:00 via Android
    服务里面 update 关闭,
    a272184745
        17
    a272184745  
       2018-01-15 12:56:33 +08:00 via Android
    @pelloz 服务里关闭 update
    Love4Taylor
        18
    Love4Taylor  
       2018-01-15 12:57:47 +08:00
    @a272184745 #16 不怕哪天再经历一次 WannaCry 么...
    honeycomb
        19
    honeycomb  
       2018-01-15 13:18:58 +08:00 via Android   ❤️ 1
    @boywhp 你在这个行业搞了十年自然知道怎么避免风险,但是不能以同样的要求对待常见的人
    xyfan
        20
    xyfan  
       2018-01-15 13:22:20 +08:00
    @pelloz 如果还没打这个补丁,可以使用 http://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab 这个工具隐藏特定更新。
    LGA1150
        21
    LGA1150  
       2018-01-15 13:24:03 +08:00 via Android
    Win 好像可以改注册表手动关闭内核页表隔离
    jasontse
        22
    jasontse  
       2018-01-15 13:24:14 +08:00 via Android
    @xyfan 再过两个月 Windows 10 version 1803 更新了看你怎么办
    yksoft1
        23
    yksoft1  
       2018-01-15 13:36:39 +08:00
    现在 M$那边似乎只有 win10 全面上线了这个补丁?
    Oucreate
        24
    Oucreate  
       2018-01-15 13:59:08 +08:00
    借楼求问:
    如何利用这次漏洞直接通过 JavaScript 窃取密码等信息?
    https://www.v2ex.com/t/421783
    (我只是想看看有没有这种事)
    riggzh
        25
    riggzh  
       2018-01-15 14:07:27 +08:00
    才发现,上次升级 BIOS 的时候已经打了,另一个 Windows 自动更新打了
    http://bbs.pcbeta.com/data/attachment/forum/201801/15/134419xqsaauessyeqp8ek.png
    riggzh
        26
    riggzh  
       2018-01-15 14:10:24 +08:00
    riggzh
        27
    riggzh  
       2018-01-15 14:11:06 +08:00
    ![Imgur]( )

    怎么不会自动 Markdown 了
    gamexg
        28
    gamexg  
       2018-01-15 14:32:28 +08:00
    @boywhp #10 不是说 js 就可以利用这个漏洞?这样还不严重?
    xyfan
        29
    xyfan  
       2018-01-15 14:33:26 +08:00
    @jasontse 到时候再说,这个更新我安了 5 次都安不上,也是没办法。
    boywhp
        30
    boywhp  
    OP
       2018-01-15 14:37:08 +08:00 via Android
    @gamexg 这样都是理论上的东西!实际上只能做到读内存~~~ js 在本机执行时读内存而已!还不确保稳定读取!有啥严重的?还不如用 js 挖矿呢
    gamexg
        31
    gamexg  
       2018-01-15 14:39:47 +08:00
    @boywhp #30 额,读内存就比较危险了吧?
    可能读到之前填写的密码或者其他进程的密码之类的资料?

    心脏出血不也是读取 web 服务器的单进程内存?
    boywhp
        32
    boywhp  
    OP
       2018-01-15 14:46:51 +08:00 via Android
    @gamexg 关键这个远不如心血稳定!而且心血因为本身在 ssl 进程中有敏感信息!这个 js 要跨进程读难度挺大的,而且为什么不直接打浏览器补丁?而去打一个 CPU 补丁?
    BitBoX
        33
    BitBoX  
       2018-01-15 14:51:47 +08:00 via Android
    我已经打了。
    周末测了下,
    win 10 垃圾 ssd 500 写入,400 读取。cpu 和 ssd 前后基本没影响。
    macbookpro,也测了下。cpu 没有太大影响。1%左右。
    RqPS6rhmP3Nyn3Tm
        34
    RqPS6rhmP3Nyn3Tm  
       2018-01-15 15:07:33 +08:00
    上次永恒之蓝的也是这批人
    Humorce
        35
    Humorce  
       2018-01-15 15:12:23 +08:00 via iPhone
    Win10 有一个尴尬而又搞笑的地方,
    修复这个漏洞的前一个版本(好像是.125 )有一个 bug,
    大量用户都可以复线,注册表错误导致无法获取到补丁更新,完美避开这个补丁。
    xshwy
        36
    xshwy  
       2018-01-15 15:13:38 +08:00
    joysir
        37
    joysir  
       2018-01-15 15:25:48 +08:00
    这种漏洞操作难度大,会操作的也不会攻击普通用户吧,普通用户看个人喜好。
    roychan
        38
    roychan  
       2018-01-15 15:30:38 +08:00   ❤️ 1
    Meltdown 虽然不是远程执行漏洞,但是如果你的机器上运行着不可信的代码那就有可能被利用。至于对于“不可信”怎么界定看个人。我个人是肯定会打补丁的,因为不是自己写的代码都是“不可信”的。
    AEANWspPmj3FUhDc
        39
    AEANWspPmj3FUhDc  
       2018-01-15 15:43:10 +08:00
    我用 Windows 系统,都是官方原版系统安装后,驱动安装完,把系统依据自己使用习惯配置好(包括关闭更新),然后就 ghost 备份。
    ayconanw
        40
    ayconanw  
       2018-01-15 15:43:56 +08:00
    windows 的如果自动更新打上就算了,bios 我肯定不会升级
    AEANWspPmj3FUhDc
        41
    AEANWspPmj3FUhDc  
       2018-01-15 15:47:08 +08:00
    接上。

    所以除非下载的镜像已经添加过补丁,不然我都不会去更新的。
    电脑裸奔几年,只中过一次毒,还是上次闲的无聊,真机运行了下永恒之蓝。

    当然用 Linux 肯定会更新,因为 sudo pacman -Syu
    AEANWspPmj3FUhDc
        42
    AEANWspPmj3FUhDc  
       2018-01-15 15:50:18 +08:00
    主要是系统被玩出问题了,可以直接 ghsot 还原就行,打了补丁的话,ghost 后文件太大了。
    annielong
        43
    annielong  
       2018-01-15 15:55:23 +08:00
    个人能装就装,就目前这尿性说不定哪个软件或者网页就给加了一缸子,现在真正纠结的是服务器,性能据说下降的很厉害,最多的能下降百分之十几,不过云平台类母机基本上都已经后台更新了,
    yjd
        44
    yjd  
       2018-01-15 16:27:32 +08:00
    @gamexg 我也觉得危险。比如大流量网站被挂一个 js 收集数据那可不得了,难怪各浏览器修复很快。

    https://www.windowscentral.com/microsoft-talks-steps-taken-mitigate-meltdown-spectre-vulnerabilities-edge-and-internet-explorer
    changwei
        45
    changwei  
       2018-01-15 16:40:40 +08:00 via Android
    同楼主,我平时杀毒软件都不装。平时老老实实使用正规来源的文件,电脑玩玩正规网络游戏,写写代码看看视频,真的没什么中毒来源。(我现在待业在家,电脑就我一个人用,u 盘染毒不存在的)
    zeq
        46
    zeq  
       2018-01-15 18:42:54 +08:00
    等新的 CPU 出来,直接换
    hugee
        47
    hugee  
       2018-01-15 18:43:34 +08:00 via Android
    不打
    crab
        48
    crab  
       2018-01-15 18:58:05 +08:00
    @jasontse 可能会有人写一个针对这个补丁的性能优化补丁。
    boywhp
        49
    boywhp  
    OP
       2018-01-15 19:09:08 +08:00
    @crab 我期待有人写一个一键删除这个补丁的工具, 取名为: CPU 提速神奇,骗你是小狗.exe
    FishTorres
        50
    FishTorres  
       2018-01-15 19:18:24 +08:00
    bios 打和系统补丁打有什么区别
    tghgffdgd
        51
    tghgffdgd  
       2018-01-15 19:48:59 +08:00 via Android
    @changwei 前几天就有一个使用官方的升级 vs2017 被安装了腾讯管家。所以你不要抱着这心理
    zzlzhang
        52
    zzlzhang  
       2018-01-15 20:08:13 +08:00
    @boywhp 我日我还真想删
    现在更了有玄学问题
    有的图纸打不开了......还真他妈的玄学 同一个图纸
    isCyan
        53
    isCyan  
       2018-01-15 20:26:19 +08:00
    好不容易才重新刷上了带补丁的 BIOS
    miketeam
        54
    miketeam  
       2018-01-15 22:04:13 +08:00 via iPhone
    不打,那个黑客会闲的无聊给我呢?又不是什么重要人物
    wildcat007
        55
    wildcat007  
       2018-01-15 22:16:01 +08:00
    自己的京东云 京东帮忙升级,哎呦喂 进不了开机了。

    然后发起工单。技术无法完成良性升级。so

    最后
    "您好,您反馈的云主机无法启动问题因系统内核由 327 版本升级至 514 版本发生异常导致,现已处理完毕,为您回退至 327 版本,云主机已启动,请您登录云主机确认有无异常。建议您在升级内核时,使用官方推荐的方法进行操作,如非必须可保持在当前内核版本运行。谢谢!"
    UnknownR
        56
    UnknownR  
       2018-01-15 22:16:41 +08:00

    加了一个礼拜的班,家里的电脑倒是自己已经更新好了,不过 BIOS 还没更,官方的 module 检测的话第 4 项应该还是 True
    binbex
        57
    binbex  
       2018-01-15 22:30:11 +08:00
    @boywhp 哈哈,你应该告诉他们其实个人机器性能影响真不大,切换 CR3 性能损失没那么大,
    kokutou
        58
    kokutou  
       2018-01-15 22:37:14 +08:00
    垃圾技嘉还没更新 BIOS。。。
    azh7138m
        59
    azh7138m  
       2018-01-15 22:39:28 +08:00 via Android
    @Oucreate js 可以以高达 500KB/s 的速度 dump 内存数据,数据里面存的啥,是哪个程序的,都不知道:)
    boywhp
        60
    boywhp  
    OP
       2018-01-15 22:45:27 +08:00 via Android
    @azh7138m js 没这么简单!实际利用会出现各种意外的!反正我目前还没见过谁写出来读密码的!
    williamx
        61
    williamx  
       2018-01-15 23:00:06 +08:00
    我会打,可是我不会打。
    TuxcraFt
        62
    TuxcraFt  
       2018-01-16 00:16:35 +08:00
    我用的是 AMD
    我从用电脑开始 就没有买过 intel 的 cpu 除了 n 年前的笔记本没办法 哈哈
    Solitudechn
        63
    Solitudechn  
       2018-01-16 06:35:55 +08:00 via Android
    好像据说这个补丁是否更新会听从杀毒软件的操作。像火绒貌似现在就没推送呢。火绒论坛说是在评估影响。
    xiaket
        64
    xiaket  
       2018-01-16 09:09:23 +08:00   ❤️ 1
    @boywhp 写出来能用 js 读密码的人会向你汇报?
    CatCode
        65
    CatCode  
       2018-01-16 09:20:46 +08:00
    两台 windows 都打了,性能下降不超过 3%
    dikT
        66
    dikT  
       2018-01-16 09:33:59 +08:00
    @williamx 那你到底打不打[doge]
    willakira
        67
    willakira  
       2018-01-16 10:23:45 +08:00
    打,当然要打。
    MacBook 的补丁打完貌似性能还提升了…
    Windows 机器也肯定会打 然后还要等主板商把 microcode 弄到 BIOS 里面,这个是性能影响最小的一步
    Microcode 已经 release 了: https://www.bleepingcomputer.com/news/security/intel-releases-linux-cpu-microcodes-to-fix-meltdown-and-spectre-bugs/
    nanke2018
        68
    nanke2018  
       2018-01-16 11:21:17 +08:00
    @tghgffdgd 关于您说的这个问题估计是您还没有看原帖吧?楼主已经回贴称这个问题已经确认是运营商劫持的问题呢
    https://www.v2ex.com/t/422214#reply109
    tghgffdgd
        69
    tghgffdgd  
       2018-01-16 11:24:55 +08:00
    @nanke2018 #68 有看啊,运营商劫持已经达到了 https 都能给你替换文件了,这不正说明了你用着好好的官方软件锅都能从天下掉下来砸到你。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2879 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 00:29 · PVG 08:29 · LAX 16:29 · JFK 19:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.