修复Intel CPU漏洞的视窗补丁来了~

草原的狼

相关新闻：所有手机/电脑中招 Win10紧急更新：修复CPU级重大漏洞https://bbs.kafan.cn/thread-2112812-1-1.html
Intel CPU底层漏洞事件完全详解：全球手机/电脑无一幸免
https://bbs.kafan.cn/thread-2112808-1-1.html
英特尔芯片设计缺陷大 迫使Linux和Windows更新设计
https://bbs.kafan.cn/thread-2112729-1-1.htm

微软已经推出相关补丁，有需要的可以安装了


链接：WIN7のJanuary 3, 2018—KB4056897 (Security-only update)
https://support.microsoft.com/en-us/help/4056897

WIN8.1のJanuary 3, 2018—KB4056898 (Security-only update)
https://support.microsoft.com/en-us/help/4056898

WIN10のJanuary 3, 2018—KB4056892 (OS Build 16299.192)
https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

wowocock

看了下，采用的应该是类似LINUX下的KAISER技术，采用shadow  页表技术，R3,R0用不同的页表，内核地址在R3中只有极少数被映射，大部分都无效，R0中的都有效，并且R3地址也都能访问，只通过SMAP和SMEP来进行保护。
在打了新的WIN10  补丁后，我们在  KPROCESS  里会看到

0:  kd>  dt  nt!_EPROCESS  @$proc  ImageFileName  Pcb.DirectoryTableBase  Pcb.UserDirectoryTableBase
***  ERROR:  Module  load  completed  but  symbols  could  not  be  loaded  for  LiveKdD.SYS
      +0x000  Pcb                                                :
            +0x028  DirectoryTableBase                  :  0x1ab002
            +0x278  UserDirectoryTableBase          :  0x2f00001
      +0x450  ImageFileName                            :  [15]    "System"
新的UserDirectoryTableBase  用来保存R3  的CR3  ,而原来的DirectoryTableBase则为R0的CR3


0:  kd>  ?  nt!KiSystemCall64Shadow
Evaluate  expression:  -8787652898496  =  fffff801`f7121140
0:  kd>  !vtop  1ab000  fffff801f7121140
Amd64VtoP:  Virt  fffff801`f7121140,  pagedir  1ab000
Amd64VtoP:  PML4E  1abf80
Amd64VtoP:  PDPE  3b09038
Amd64VtoP:  PDE  3b0adc0
Amd64VtoP:  Large  page  mapped  phys  00000002`18121140
Virtual  address  fffff801f7121140  translates  to  physical  address  218121140.

0:  kd>  !vtop  2f00000  fffff801f7121140
Amd64VtoP:  Virt  fffff801`f7121140,  pagedir  2f00000
Amd64VtoP:  PML4E  2f00f80
Amd64VtoP:  PDPE  eb3038
Amd64VtoP:  PDE  ab2dc0
Amd64VtoP:  PTE  eb9908
Amd64VtoP:  Mapped  phys  00000002`18121140
Virtual  address  fffff801f7121140  translates  to  physical  address  218121140.
  而比较重要的nt!KiSystemCall64Shadow，在2个表中都有映射，指向同一物理地址218121140

0:  kd>  !pcr
KPCR  for  Processor  0  at  fffff801f5b22000:
        Major  1  Minor  1
                NtTib.ExceptionList:  fffff801f9664fb0
                        NtTib.StackBase:  fffff801f9663000
                      NtTib.StackLimit:  0000000000000000
                  NtTib.SubSystemTib:  fffff801f5b22000
                            NtTib.Version:  00000000f5b22180
                    NtTib.UserPointer:  fffff801f5b22870
                            NtTib.SelfTib:  00000058e0504000

                                        SelfPcr:  0000000000000000
                                              Prcb:  fffff801f5b22180
                                              Irql:  0000000000000000
                                                IRR:  0000000000000000
                                                IDR:  0000000000000000
                            InterruptMode:  0000000000000000
                                                IDT:  0000000000000000
                                                GDT:  0000000000000000
                                                TSS:  0000000000000000

                            CurrentThread:  fffff801f72a4380
                                  NextThread:  0000000000000000
                                  IdleThread:  fffff801f72a4380

                                    DpcQueue:  Unable  to  read  nt!_KDPC_DATA.DpcListHead.Flink  @  fffff801f5b24f80

0:  kd>  !vtop  2f00000  fffff801f5b24f80
Amd64VtoP:  Virt  fffff801`f5b24f80,  pagedir  2f00000
Amd64VtoP:  PML4E  2f00f80
Amd64VtoP:  PDPE  eb3038
Amd64VtoP:  PDE  ab2d68
Amd64VtoP:  PTE  37b6920
Amd64VtoP:  zero  PTE
Virtual  address  fffff801f5b24f80  translation  fails,  error  0xD0000147.

0:  kd>  !vtop  1ab000  fffff801f5b24f80
Amd64VtoP:  Virt  fffff801`f5b24f80,  pagedir  1ab000
Amd64VtoP:  PML4E  1abf80
Amd64VtoP:  PDPE  3b09038
Amd64VtoP:  PDE  3b0ad68
Amd64VtoP:  PTE  510d920
Amd64VtoP:  Mapped  phys  f88f80
Virtual  address  fffff801f5b24f80  translates  to  physical  address  f88f80.

而另一个内核地址，只在R0被影射为物理地址f88f80.而在R3没有映射

提示错误  Virtual  address  fffff801f5b24f80  translation  fails,  error  0xD0000147.

lzxzyhy

好快发布，没有延迟到下周二。

Eif-Hill

Intel tried to downplay performance concerns on its conference call, saying that most workloads shouldn’t see significant issues but acknowledging that “other workloads that spend a lot of time going back between the application and operating system” could see up to a 30 percent reduction in performance after installing the patches, said Ronak Singhal, director of CPU computing architecture at Intel, during the call.

zydfs

现在都不知道该怎么办了

kxmp

只是个内存隔离方面的东西

2018-01-04 16:47:17
你这个不定模棱两可

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV have updated the ALLOW REGKEY.


什么叫做安软乱七八糟问题... 我都不知道这个补丁干啥的

飘荡的心

听说更新之后，CPU性能会下降5%-30%左右，直接回退1-2代产品，是不是真的啊，这样的话，都不敢安装了，性能弱了这么多？

草原的狼

lzxzyhy 发表于 2018-1-4 16:04
好快发布，没有延迟到下周二。

事态紧急吧，这个漏洞威力太大

风之咩~

飘荡的心 发表于 2018-1-4 16:56
听说更新之后，CPU性能会下降5%-30%左右，直接回退1-2代产品，是不是真的啊，这样的话，都不敢安装了，性能 ...

13年往前的好像是能下降一半..

leafviy

感谢分享。。。

ccsfuture

i56300hq大概下降多少性能？有人知道吗？