最近AMD不光不断推新品,也在给旧型号打补丁,比如刚刚发现的APU漏洞——“SMM Callout(系统管理模式调出)”就会在月底前得到新的BIOS补丁。小伙伴们肯定会看到一些关于这次漏洞的吓人报道,比如漏洞很危险啦,权限很高啦,还提到了“层级”、“Ring-2”这样陌生的词。到底这个漏洞有多严重?我们应该怎么理解呢?

咱们之前总是提到CPU“创造力”的一面,比如支持游戏、处理工作等等。其实它也具有毁灭性的力量,也就是一些相当“危险”的指令,比如清除缓存/内存、调整运行时钟等,虽然不至于像电影里那样让电脑爆炸,但摧毁数据、劫持网络、甚至搞坏一些元件还是能做到的。

危险指令导致电脑直接爆炸大都是电影中的夸张,大家不用在意

这些比较危险的指令当然也有其存在的意义,但显然不能乱用,所以CPU指令就被分为特权指令和非特权指令,并且为各种软件设置了可用指令的等级,也就是对硬件控制的层级,用Ring“X”来表示。其中X为数字,数字越小则权限等级越高,能够使用的指令越多,越能深入控制硬件。操作系统使的等级为Ring0,设备驱动是Ring1/2,而普通程序则为Ring3。

不过还有比Ring0更高等级的指令,比如这次的漏洞其实是在UEFI,或者习惯说法是BIOS中的,更深入底层,权限就是Ring-2(负2)。也就是说它可以在操作系统都不知道的情况下运行,而且可以在操作系统启动之前工作,所以也就没法通过软件补丁来解决,AMD的办法是提供新的BIOS来“堵上”这个漏洞。

更严重的漏洞也是有的,比如三年前Intel ME爆出的漏洞就达到了Ring-3,在关机状态都可以依靠板上电池保持运行,所以连更新BIOS都不能彻底解决,最终的方法其实是直接关闭了处理器的相关功能。

至于防范措施,就是对于Ring0~Ring3等级的漏洞,大家一定要注意Windows的补丁,即使不想升级大版本,至少也要安装安全补丁;并且一定要保持杀毒软件正常运行、病毒库即时更新。至于更严重的漏洞,比如这次的Ring-2,个人用户其实真的是无能为力了,唯一的防护措施就是做好重要数据的备份,重要的数据电脑则脱网运行,并且暂时不要接触外来数据,直到打上BIOS补丁后再考虑联网吧。

bios免电池补丁_补丁和权限 处理器漏洞多大这样看相关推荐

  1. win7家庭版远程桌面补丁_无需惊慌!微软漏洞数月后再被“预警”打补丁即可防御...

    9月7日,火绒接到用户反馈,咨询多家安全友商相继发布的漏洞预警一事.经火绒工程师确认,该漏洞(CVE-2019-0708)早在5月14日就已经被微软披露过,火绒也在第一时间发布了相关漏洞预警,并向火绒 ...

  2. win7家庭版远程桌面补丁_无需惊慌!微软漏洞数月后再被“预警” 打补丁即可防御...

    9月7日,火绒接到用户反馈,咨询多家安全友商相继发布的漏洞预警一事.经火绒工程师确认,该漏洞(CVE-2019-0708)早在5月14日就已经被微软披露过,火绒也在第一时间发布了相关漏洞预警,并向火绒 ...

  3. CVE-2020-1472NetLogon权限提升漏洞

    0x01 概述 2020年8月12日,阿里云应急响应中心监测到微软发布补丁修复了NetLogon权限提升漏洞(CVE-2020-1472),CVSS评分10,官方评级严重.攻击者通过NetLogon( ...

  4. mysql漏洞如何打补丁_“永恒之黑”针对win10和服务器漏洞分析

    几个月前就注意到了CVE-2020-0796漏洞,SMB V3远程代码执行漏洞(又称永恒之黑),没太在意,这几天国内外各大媒体,甚至美国国土安全部也发布了公告,并警告该漏洞已经被广泛应用.(SMB)协 ...

  5. wsus可以打mysql中间件补丁_加入WSUS补丁服务器并下载补丁

    --------加入WSUS补丁服务器并下载补丁_不安装------- @echo off reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVers ...

  6. 运维人员的补丁盛宴 四月修复微软Adobe漏洞合计过百!

    运维人员的补丁盛宴 四月修复微软Adobe漏洞合计过百! 文/图 王文文 北京时间2010年4月14日,微软发布了四月安全公告,共11个,用于修复Windows操作系统及Office等软件的大约92个 ...

  7. 2020-12 补丁日: 微软多个高危漏洞通告

    报告编号:B6-2020-120902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日,360CERT监测发现 微软官方 ...

  8. netlogon启动后停止_【通告更新】漏洞EXP已流出,影响巨大,微软NetLogon权限提升漏洞安全风险通告第三次更新...

    近日,奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本.此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS漏洞评分10 ...

  9. .netframewor金山卫士推送微软8月补丁 IE所有版本存在高危漏洞

    8月10日凌晨,微软刚刚发布了8月份的安全补丁,其中涉及到所有浏览器IE版本中的7个安全漏洞,最严重的漏洞可能会使网民通过IE浏览特制网页时允许远程执行代码,成功利用这些漏洞的者可以获得与本地用户相同 ...

最新文章

  1. raver php,为PhpStorm添加Laravel 代码智能提示功能
  2. java基础提升篇:Java 序列化的高级认识
  3. 学习Linux课程第十二天
  4. [Winform]一个简单的账户管理工具
  5. SAP Spartacus 服务器端渲染优化引擎的参数 SsrOptimizationOptions
  6. GetClientRect相当于GetWindowRect和ScreenToClient区别
  7. 史上最全分布式数据库概述
  8. Summary - 2017
  9. 操作系统双语阅读 - Schedulers调度器2
  10. Spring Security 安全框架概述 与 快速入门
  11. linux确定字符行,linux小计,统计文件中包含指定字符串的行数
  12. 图解设计模式-Flyweight模式
  13. matlab中的imnoise信噪比,matlab语法fn=imnoise(f,'gaussian',0,0.02)是给f添加高斯噪声,其中数值0和0.02分别表示___和___?...
  14. SOP 封装 和 SOIC 封装的区别——细微差别,可以混用
  15. 错位排列递推公式推导
  16. [GIS教程] 5.2 空间数据管理 | SDE空间数据引擎
  17. java毕业设计办公自动化管理系统Mybatis+系统+数据库+调试部署
  18. 【Redis】事物和锁机制乐观锁悲观锁
  19. firefox插件grease_monkey
  20. KEIL仿真 logic analyzer

热门文章

  1. Unsupported Hardware Detected
  2. leetcode 162. Find Peak Element | 162. 寻找峰值(二分法找局部最大值)
  3. 淘宝网秒杀需求分析与实现 - 公开课笔记
  4. 牛客网 对称平方数【回文数的判断 两个vector是否相等】
  5. JDK11的新特性:HTTP API和reactive streams
  6. Spring5参考指南:AOP代理
  7. Redis学习之复制(三)
  8. WebService开发方法介绍
  9. ByteBuf的源码分析
  10. 07.suggester简述