查看: 22597|回复: 38
收起左侧

[分享] 修复Intel CPU漏洞的视窗补丁来了~

  [复制链接]
草原的狼
发表于 2018-1-4 15:28:03 | 显示全部楼层 |阅读模式
本帖最后由 草原的狼 于 2018-1-4 15:27 编辑

相关新闻:所有手机/电脑中招 Win10紧急更新:修复CPU级重大漏洞https://bbs.kafan.cn/thread-2112812-1-1.html
Intel CPU底层漏洞事件完全详解:全球手机/电脑无一幸免
https://bbs.kafan.cn/thread-2112808-1-1.html
英特尔芯片设计缺陷大 迫使Linux和Windows更新设计
https://bbs.kafan.cn/thread-2112729-1-1.htm

微软已经推出相关补丁,有需要的可以安装了
封堵Intel CPU漏洞.png
封堵Intel CPU漏洞1.png
链接:WIN7のJanuary 3, 2018—KB4056897 (Security-only update)
https://support.microsoft.com/en-us/help/4056897

WIN8.1のJanuary 3, 2018—KB4056898 (Security-only update)
https://support.microsoft.com/en-us/help/4056898

WIN10のJanuary 3, 2018—KB4056892 (OS Build 16299.192)
https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892






评分

参与人数 1经验 +10 收起 理由
绯色鎏金 + 10 版区有你更精彩: )

查看全部评分

wowocock
发表于 2018-1-5 18:21:03 | 显示全部楼层
看了下,采用的应该是类似LINUX下的KAISER技术,采用shadow  页表技术,R3,R0用不同的页表,内核地址在R3中只有极少数被映射,大部分都无效,R0中的都有效,并且R3地址也都能访问,只通过SMAP和SMEP来进行保护。
在打了新的WIN10  补丁后,我们在  KPROCESS  里会看到

0:  kd>  dt  nt!_EPROCESS  @$proc  ImageFileName  Pcb.DirectoryTableBase  Pcb.UserDirectoryTableBase
***  ERROR:  Module  load  completed  but  symbols  could  not  be  loaded  for  LiveKdD.SYS
      +0x000  Pcb                                                :
            +0x028  DirectoryTableBase                  :  0x1ab002
            +0x278  UserDirectoryTableBase          :  0x2f00001
      +0x450  ImageFileName                            :  [15]    "System"
新的UserDirectoryTableBase  用来保存R3  的CR3  ,而原来的DirectoryTableBase则为R0的CR3


0:  kd>  ?  nt!KiSystemCall64Shadow
Evaluate  expression:  -8787652898496  =  fffff801`f7121140
0:  kd>  !vtop  1ab000  fffff801f7121140
Amd64VtoP:  Virt  fffff801`f7121140,  pagedir  1ab000
Amd64VtoP:  PML4E  1abf80
Amd64VtoP:  PDPE  3b09038
Amd64VtoP:  PDE  3b0adc0
Amd64VtoP:  Large  page  mapped  phys  00000002`18121140
Virtual  address  fffff801f7121140  translates  to  physical  address  218121140.

0:  kd>  !vtop  2f00000  fffff801f7121140
Amd64VtoP:  Virt  fffff801`f7121140,  pagedir  2f00000
Amd64VtoP:  PML4E  2f00f80
Amd64VtoP:  PDPE  eb3038
Amd64VtoP:  PDE  ab2dc0
Amd64VtoP:  PTE  eb9908
Amd64VtoP:  Mapped  phys  00000002`18121140
Virtual  address  fffff801f7121140  translates  to  physical  address  218121140.
  而比较重要的nt!KiSystemCall64Shadow,在2个表中都有映射,指向同一物理地址218121140

0:  kd>  !pcr
KPCR  for  Processor  0  at  fffff801f5b22000:
        Major  1  Minor  1
                NtTib.ExceptionList:  fffff801f9664fb0
                        NtTib.StackBase:  fffff801f9663000
                      NtTib.StackLimit:  0000000000000000
                  NtTib.SubSystemTib:  fffff801f5b22000
                            NtTib.Version:  00000000f5b22180
                    NtTib.UserPointer:  fffff801f5b22870
                            NtTib.SelfTib:  00000058e0504000

                                        SelfPcr:  0000000000000000
                                              Prcb:  fffff801f5b22180
                                              Irql:  0000000000000000
                                                IRR:  0000000000000000
                                                IDR:  0000000000000000
                            InterruptMode:  0000000000000000
                                                IDT:  0000000000000000
                                                GDT:  0000000000000000
                                                TSS:  0000000000000000

                            CurrentThread:  fffff801f72a4380
                                  NextThread:  0000000000000000
                                  IdleThread:  fffff801f72a4380

                                    DpcQueue:  Unable  to  read  nt!_KDPC_DATA.DpcListHead.Flink  @  fffff801f5b24f80

0:  kd>  !vtop  2f00000  fffff801f5b24f80
Amd64VtoP:  Virt  fffff801`f5b24f80,  pagedir  2f00000
Amd64VtoP:  PML4E  2f00f80
Amd64VtoP:  PDPE  eb3038
Amd64VtoP:  PDE  ab2d68
Amd64VtoP:  PTE  37b6920
Amd64VtoP:  zero  PTE
Virtual  address  fffff801f5b24f80  translation  fails,  error  0xD0000147.

0:  kd>  !vtop  1ab000  fffff801f5b24f80
Amd64VtoP:  Virt  fffff801`f5b24f80,  pagedir  1ab000
Amd64VtoP:  PML4E  1abf80
Amd64VtoP:  PDPE  3b09038
Amd64VtoP:  PDE  3b0ad68
Amd64VtoP:  PTE  510d920
Amd64VtoP:  Mapped  phys  f88f80
Virtual  address  fffff801f5b24f80  translates  to  physical  address  f88f80.

而另一个内核地址,只在R0被影射为物理地址f88f80.而在R3没有映射

提示错误  Virtual  address  fffff801f5b24f80  translation  fails,  error  0xD0000147.

评分

参与人数 1经验 +15 收起 理由
绯色鎏金 + 15 版区有你更精彩: )

查看全部评分

lzxzyhy
发表于 2018-1-4 16:04:39 | 显示全部楼层
好快发布,没有延迟到下周二。
Eif-Hill
头像被屏蔽
发表于 2018-1-4 16:13:26 | 显示全部楼层
Intel tried to downplay performance concerns on its conference call, saying that most workloads shouldn’t see significant issues but acknowledging that “other workloads that spend a lot of time going back between the application and operating system” could see up to a 30 percent reduction in performance after installing the patches, said Ronak Singhal, director of CPU computing architecture at Intel, during the call.

zydfs
发表于 2018-1-4 16:38:07 | 显示全部楼层
现在都不知道该怎么办了
kxmp
发表于 2018-1-4 16:42:43 | 显示全部楼层
本帖最后由 kxmp 于 2018-1-4 16:47 编辑

只是个内存隔离方面的东西

2018-01-04 16:47:17
你这个不定模棱两可

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV have updated the ALLOW REGKEY.


什么叫做安软乱七八糟问题... 我都不知道这个补丁干啥的
飘荡的心
发表于 2018-1-4 16:56:09 | 显示全部楼层
听说更新之后,CPU性能会下降5%-30%左右,直接回退1-2代产品,是不是真的啊,这样的话,都不敢安装了,性能弱了这么多?
草原的狼
 楼主| 发表于 2018-1-4 18:02:26 | 显示全部楼层
lzxzyhy 发表于 2018-1-4 16:04
好快发布,没有延迟到下周二。

事态紧急吧,这个漏洞威力太大
风之咩~
发表于 2018-1-4 18:29:20 | 显示全部楼层
飘荡的心 发表于 2018-1-4 16:56
听说更新之后,CPU性能会下降5%-30%左右,直接回退1-2代产品,是不是真的啊,这样的话,都不敢安装了,性能 ...

13年往前的好像是能下降一半..
leafviy
发表于 2018-1-4 18:34:44 | 显示全部楼层
感谢分享。。。
ccsfuture
发表于 2018-1-4 18:55:15 来自手机 | 显示全部楼层
i56300hq大概下降多少性能?有人知道吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 05:41 , Processed in 0.138479 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表