SpectreとMeltdownがハードウェアで修正されるまで待つ必要がありますか?
年齢の関係で交換が必要なノートパソコンがあります。
このラップトップは、Officeアプリ、開発、VMの実行、Webブラウジングなど、デスクトップ用に使用します。 Qubes/Xen、KVMまたはVirtualboxを使用した分離を使用します。注:ラップトップではベアメタル上でWindowsを実行しません(VMとして実行できます)。LinuxまたはXen/Qubesを実行します。
SpectreとMeltdownがハードウェアで修正されるまで待つ必要がありますか?ソフトウェアの更新(ブラウザーと視覚化用)とマイクロコードの更新によって現在のプロセッサーを修正できるでしょうか?
Spectre&Meltdownが修正されたラップトッププロセッサのリリースが予想される場合は、遠慮なく推測してください(しゃれは意図されていません)。
*-元の3つのCVE、2つの新しいCVE、および予想される新しい8を含むすべてのCVE? CVE。
交換する必要がある場合は、新しいラップトップを購入することを個人的に言います。複数のベンダーがそれぞれのレイヤーで保護を提供しているのがわかります。 BIOS/UEFIレイヤーを提供するOEMから。 Microsoft /その他のOSレイヤー( https://support.Microsoft.com/en-in/help/4073757/protect-your-windows-devices-against-spectre-meltdown )およびブラウザなどGoogle Chromeが保護メカニズムの提供を開始しました。( https://threatpost.com/google-patches-34-browser-bugs-in-chrome-67-adds-spectre -fixes/132370 / )
全体的に見て、脆弱性自体はソフトウェア/ドライバー/ファームウェアレベルで完全に修正することはできません(ただし、Intelは理論的にはファームウェアでこれを処理できますが、最大で約30%のパフォーマンスが必要になります>。パッチの組み合わせ非常に強力で断固とした攻撃者の標的にならない限り、悪用を困難にします。
真の修正はハードウェアレベルにあり、Intelはこれをいつ行うかについての更新を提供していません。私は次を見つけましたが
ただし、Skylake-Xではなく、Cascade Lake-Xになる可能性があります。カスケードレイクはSkylake-SP/Xプラットフォームのインクリメンタルリビジョンです。追加のAVX512命令を追加し、SpectreおよびMeltdown攻撃に対するハードウェアの修正を含み、より高速なメモリをサポートする必要があります。
新しいノートパソコンをお楽しみください。 :)
OSとハイパーバイザーにパッチを適用する必要があります。
パッチは、利用可能になり次第展開する必要があります。
Osパッチを使用する場合、OSが攻撃経路を緩和することを意味します。
権限によっては、エクスプロイトを引き続き使用する可能性があるため、修正はされません。
特権の少ないユーザーの場合、同じ結果を得るのが非常に難しくなります。
BIOS /ファームウェアのアップデートは、攻撃ベクトルと脆弱な命令をブロック/削除するため、修正できるものになります。
メルトダウンの場合、資格情報を取得して特権を昇格させる方法を示すPOCがすでに利用可能です。OSパッチでは、これは100%修正されます。