https://twitter.com/misc0110/status/948706387491786752
已經有人係 Twitter 示範用 Meltdown 去實時偷 password
再講多少少,根據 Google Project Zero,今次其實有三個漏洞,CVE-2017-5753的繞過邊界檢查(bounds check bypass)、CVE-2017-5715的分支目標注入(branch target injection),以及CVE-2017-5754的未管理資料快取載入(rogue data cache load)。同時佢地發表咗4個 PoC (Proof of Concept),可以利用上述漏洞去攻擊系統。
另外仲有兩個 PoC,分別係 Meltdown 同 Spectre。Meltdown 就剩係利用 CVE-2017-5754,Spectre 係針對 CVE-2017-5753, CVE-2017-5715。
Spectre 係冚家剷,AMD, ARM, Intel 全部都有影響;不過比較難利用,但係亦都更加防不勝防。
Meltdown 基本上只係影響到 Intel;相反地比較易利用,但就相對易啲防範。
https://www.ithome.com.tw/news/120183