Latest News

首頁 » 電腦技術問題 » Synology 群暉 NAS DSM7(啟用 Spectre『融毀』與Meltdown『幽靈』防護)網路安全

Synology 群暉 NAS DSM7(啟用 Spectre『融毀』與Meltdown『幽靈』防護)網路安全

你會在Synology 群暉官網看到此文章:

Meltdown 『融毀』與 Spectre 『幽靈』漏洞的影響範圍橫跨市面上主流的處理器架構,包括市場上絕大多數品牌的電腦、行動裝置、伺服器也在受影響之列。
攻擊者若可在本地執行惡意程式碼,就有機會繞過系統的保護機制存取記憶體內的機敏資訊。
不過由於這些安全性弱點提前被資安研究人員揭露,據悉尚未傳出具體災情,Synology 目前也未接獲任何用戶反映產品受到此兩種攻擊。

Synology 建議用戶透過以下方式保護您的系統與資料安全:

只在您的系統上安裝、執行受信任的應用程式

確保所有 DiskStation Manager / Synology Router Manager 帳戶的使用者均能被信任

在 Synology 群暉 NAS DSM7→控制台→安全性→進階設定(勾選:Meltdown 與 Spectre防護)



請注意:使用Synology 群暉 NAS DSM 6.X 沒有Meltdown 與 Spectre防護此選項!

—————————————————–
什麼是 Meltdown/Spectre?
有訪客會問:什麼是 Meltdown/Spectre呢?對我們的網路伺服器有何影響呢?
洪總教頭回覆:Meltdown 和 Spectre 是最近在 Intel、AMD、Apple 和 ARM 處理器晶片中發現的漏洞。
這些漏洞由關聯晶片的嚴重設計缺陷引起,由於發現了這個問題,開發人員不得不重新設計 Windows、Mac 和 Linux 操作系統軟體,以防護漏洞並防止攻擊者加以利用。

這些漏洞由 Google Project Zero 的研究人員發現,該團隊致力於及時發現安全漏洞,以免遭攻擊者利用。
截至目前,尚沒有找到有人利用 Meltdown 或 Spectre 漏洞。
Apple、Intel 和 Microsoft 等主要技術公司的安全團隊以及開源 Linux 開發人員現在都投入了大量資源,試圖確保其處理器和操作系統的安全性,以免遭到惡意利用。

誰會受到 Meltdown 和 Spectre 漏洞的影響?
除了少數例外,所有 PC 和/或智慧手機所有者都面臨危險。
根據 Google 提供的資訊,1995 年以後生產的所有裝有 Intel 處理器晶片的裝置都會受到影響。
AMD 和 ARM 更難被利用,但它們同樣有風險。

如何防範 Meltdown/Spectre 漏洞?
除更換 PC 處理器以外,消除漏洞的唯一方法是修補操作系統。
蘋果在 12 月初悄悄針對 OSX 推出了 Meltdown 修補程式,微軟在 1 月 3 日發佈了 Windows 修補程式,而 Linux 開發人員仍在建立修補程式。

很遺憾,這些 Meltdown 修補程式有一個副作用:由於設計原因,電腦安裝帶修補程式的操作系統後,其處理速度會減緩。
速度減緩會導致效能下降大約 5-30%,這在很大程度上取決於晶片的類型和所執行的任務。

Meltdown 和 Spectre 漏洞的實際工作模式是怎樣的?
Meltdown 和 Spectre 都是在執行稱為“內核代碼”的特殊低級代碼時建立的漏洞,內核代碼專門在“推測執行”期間運行。

什麼是推測執行?
用比喻來解釋推測執行,或許是最簡單的辦法。
想像一個徒步旅行者在樹林裡迷了路,他遇到了一個岔路口,分別通向兩條大致平行的路。
其中一條通往她家,另一條則不是。她沒有浪費時間等待其他遠足者給她指路,而是選取了她認為最有可能通向家中的那條路。
在途中某個地方,她遇到了一個路標,如果路標告知她走的是正確的路,那麼她會繼續沿著那條路回家。
如果路標告訴她走錯了,她會迅速返回並改走另一條路,這並不比她一直呆在原地尋找方向更差。

推測執行
許多現代處理器採用一種叫做“推測執行”的類似技術:CPU 嘗試猜測下一步需要執行什麼代碼,在收到請求前即開始執行該代碼。
如果事實證明不需要執行該代碼,則還原變更。這是為了節省時間並加快效能。

關於 Meltdown/Spectre 漏洞的報告表明,Intel CPU 可能在無需進行重要安全檢查的情況下,對代碼進行推測執行操作。或許,可以編寫軟體來檢查處理器是否已執行通常會被這些安全檢查阻止的指令。

對推測執行的不當處理會引起 CPU 漏洞,攻擊者可能利用該漏洞訪問內核記憶體中的高度敏感資料,例如密碼、加密密鑰、個人照片、電子信件等。

那麼,什麼是內核?
內核是位於電腦操作系統核心的程式。
它具有對操作系統的完全控制權,並負責管理啟動、記憶體處理等所有流程。
內核還負責將資料處理指令傳送到到 CPU(中央處理單元)。
大多數 CPU 一直在內核模式和使用者模式之間來回切換。

內核模式和使用者模式有什麼區別?
在內核模式下,CPU 執行的代碼可以不受限制地訪問電腦的硬體和記憶體。
此模式通常私人於最低層級和最受信任的操作。
若在 CPU 處於內核模式時發生崩潰,就可能是災難性的;它們可能會使整個操作系統崩潰。

在使用者模式下,正在執行的代碼無法訪問硬體或參考記憶體,相反,必須委託系統 API 進行訪問(擁有適當權限的使用者模式軟體可以請求某些內核模式功能,然後系統 API 可以運行這些功能)。
使用者模式崩潰通常是孤立的,並且可以恢復。大多數代碼在使用者模式下執行。

為什麼 Meltdown 修補程式會降低效能?
Meltdown 修補程式中的修復功能將內核的記憶體與使用者程式進行更顯著的分離。
這是通過稱為內核頁表隔離(KPTI)的方法完成的。
KPTI 將內核模式操作移到與使用者模式操作完全分開的位址空間中。
這意味著需要花費大量時間,在內核模式和使用者模式之間切換。

為了說明這一點,假設有一輛快餐車,只出售兩種東西:熱狗和冷檸檬水。
快餐車內的員工可以輕鬆到達裝熱狗的蒸鍋和裝冷檸檬水的冷卻器,快速地為顧客服務。
現在,假設健康檢查員來了,要求將冷熱食品存放在不同的場所。
現在,員工仍然可以直接拿取熱狗,但必須走出快餐車,然後沿著街邊走到取檸檬水的地方。
這樣,等候的佇列將搬移得慢得多,尤其是在顧客訂購大量檸檬水的情況下。KPTI 降低操作系統效能的原理與此類似。

Meltdown 和 Spectre 有什麼區別?
Meltdown 和 Spectre 都是因處理器處理推測執行的模式而導致的漏洞,但它們的工作模式及其影響的處理器類型有所不同。

結論:Meltdown 僅影響 Intel 和 Apple 處理器,並可能遭到利用,洩露處理器在推測執行期間執行代碼時暴露的資訊。
Meltdown 比 Spectre 更容易遭到利用,安全專家標示其具有更大的風險。
值得慶幸的是,Meltdown 可以更容易和更直接地修補。

Spectre 會影響 Intel、Apple、ARM 和 AMD 處理器,攻擊者可以利用該漏洞,真正誘使處理器運行其不應運行的代碼。
據 Google 的安全專家稱,Spectre 比 Meltdown 更難利用,但也更難防護。

關於

發佈留言

順.不妄喜 逆.不惶餒 胸有驚雷而面如平湖 凜冽寒冬中悄悄拔劍 然後.驚艷所有的人!
【行走江湖】的四個階段:尋劍、揮劍、佩劍、供劍(江湖無招.手中無劍.心中有劍)談笑用兵,君子不器
E-Mail:ster168ster@gmail.com