微软的Windows 7 Meltdown修复程序使PC变得更加不安全

微软针对英特尔Meltdown处理器漏洞的1月和2月安全修复程序在Windows 7 PC和Server 2008 R2上打开了更严重的安全漏洞。

这是根据研究员Ulf Frisk的分析得出的。我们被告知,Redmond早期针对Windows 7和Server 2008 R2的Meltdown修复程序留下了对正常用户进程可读写的关键内核内存表。这反过来又意味着在这些机器上运行的任何应用程序或恶意软件或任何登录用户都可以操纵操作系统的内存映射,获得管理员级权限并提取和修改RAM中的任何信息。

该消融芯片级漏洞允许恶意软件或不择手段的登录用户在英特尔处理器的机器上读取密码,个人信息,并从受保护的内核内存等秘密。但微软公司在1月和2月发布的Windows 7和Server 2008 R2上的安全修复程序最终授予程序读写所有物理内存的权限。

根据Frisk的说法,他用概念验证漏洞支持他的说法,问题归结为内核在CPU页表表项中意外设置的一个位,该表允许读写用户模式访问顶级用户模式,级别页表本身。

在Windows 7和Server 2008上,PML4表位于固定地址,因此可以始终通过利用代码找到并修改它。通过将密钥权限位从supervisor-only转换为任何用户,该表允许所有进程修改所述表,并上拉和写入应该仅被内核代码查看的内存地址。

将此表视为CPU的电话号码簿,让它知道内存的位置以及可以访问的内容。微软的程序员不小心将该表标记为完全打开,以供用户模式程序改变,从而允许他们重写计算机的内存映射目录。

“Windows 7已经将所需内存映射到每个正在运行的进程中,”Frisk解释说。“开发只是读写已经映射进程内虚拟内存的问题,不需要任何花哨的API或系统调用 - 只需标准读取和写入。”

Windows 8和Windows 10本身不受影响,因为这些版本的Windows会随机化易受攻击的PML4表的内存地址,从而使开发变得棘手。我们被告知,3月13日补丁星期二的更新包含一个解决这个权限的问题。

微软没有回应关于此事的评论请求。

简而言之,使用最新的安全更新修补Windows 7和Server 2008 R2计算机,以防止此操作系统漏洞,否则任何进程或用户都可以篡改和窃取物理RAM中的数据,并给予自己管理级别的控制权。

网络不工作

微软的March安全更新在选定的安装中破坏了静态IP地址和vNIC设置,使有问题的虚拟机,服务器和客户端脱机。

例如,对于Windows 7和Server 2008 R2的修补程序集KB4088878,Redmond承认:

新的以太网虚拟网络接口卡(vNIC)具有默认设置,可能会替代先前存在的vNIC,从而在应用此更新后导致网络问题。以前的vNIC上的任何自定义设置都会保留在注册表中,但未使用。微软正在研究解决方案,并将在即将发布的版本中提供更新。

应用此更新后,静态IP地址设置将丢失。微软正在研究解决方案,并将在即将发布的版本中提供更新。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/03/28/fyi_microsofts_januaryfebruary_windows_7_meltdown_patches_make_kernel_security_way_worse
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券