V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  信息安全

腾讯玄武实验室发布了一款在浏览器里的 Spectre 漏洞检测工具

  •  1
     
  •   Livid · 2018-01-10 08:04:14 +08:00 · 10000 次点击
    这是一个创建于 2269 天前的主题,其中的信息可能已经有所发展或是发生改变。
    47 条回复    2018-04-18 15:33:15 +08:00
    haidao1999
        1
    haidao1999  
       2018-01-10 08:05:13 +08:00 via Android
    感谢站长!
    weeevv
        2
    weeevv  
       2018-01-10 08:10:21 +08:00
    $ Your browser is VULNERABLE to Spectre
    $ Please update your browser immediately
    吓得我赶快打开 ubuntu 软件更新...
    hp3325
        3
    hp3325  
       2018-01-10 08:17:15 +08:00
    $ Start checking...
    $ Processing 8M cache, waiting...
    $ Processing 16M cache, waiting...
    $ Processing 32M cache, waiting...
    $ Processing 64M cache, waiting...
    $ Processing 128M cache, waiting...
    $
    $ According to our checking
    $ Your browser is NOT VULNERABLE to Spectre
    $
    hp3325
        4
    hp3325  
       2018-01-10 08:19:12 +08:00
    Firefox 57.0.1 检查完竟然报不受影响!
    Oo0
        5
    Oo0  
       2018-01-10 08:26:12 +08:00
    貌似这个不太准
    yu099
        6
    yu099  
       2018-01-10 08:35:36 +08:00 via Android
    看来利用还是有点困难的
    Android chrome dev 显示 不受影响
    KNOX
        7
    KNOX  
       2018-01-10 08:38:10 +08:00 via Android
    请教下在浏览器检测系统的安全性是什么原理?
    yu099
        8
    yu099  
       2018-01-10 08:42:21 +08:00 via Android
    @KNOX 这个漏洞就是用用户应用权限取得系统数据(应该是这样)
    cljnnn
        9
    cljnnn  
       2018-01-10 08:47:53 +08:00
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击

    Mac OS 10.13.2, safari 11.0.2
    KNOX
        10
    KNOX  
       2018-01-10 08:50:46 +08:00 via Android   ❤️ 1
    @yu099 在 v2ex+打开这个地址结果是 vulnerable,改为 chrome 打开又变成 not vulnerable,v2ex+打开网页用的是 CustomTab,在有安装 chrome 的手机上是直接使用 chrome 内核的,居然结果不一样,我的手机是 Pixel。
    neighbads
        11
    neighbads  
       2018-01-10 09:05:56 +08:00
    怎么测了一次之后 再测 不出现这个了。
    $ Start checking...
    $ Processing 8M cache, waiting...
    $ Processing 16M cache, waiting...
    $ Processing 32M cache, waiting...
    $ Processing 64M cache, waiting...
    $ Processing 128M cache, waiting...
    qiuai
        12
    qiuai  
       2018-01-10 09:07:23 +08:00
    chrome 63.0.3239.132 正式版
    点击检测瞬间弹出不受影响...

    $ 开始进行测试...
    $
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    $
    neighbads
        13
    neighbads  
       2018-01-10 09:08:21 +08:00
    @qiuai 几秒前 我还出现 开始检测,现在也是秒出现不受攻击。。。
    qiuai
        14
    qiuai  
       2018-01-10 09:11:41 +08:00
    @neighbads Microsoft Edge 41.16299.15.0 还是提示受攻击...所以可能不是服务挂了?
    DeHoo
        15
    DeHoo  
       2018-01-10 10:10:27 +08:00
    搞笑!!!
    我用火狐测试得到的结果是:您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    我用谷歌浏览器测试结果是:您的浏览器环境容易遭受 Spectre 漏洞的攻击
    我用 IE 浏览器测试结果是:您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    kliy
        16
    kliy  
       2018-01-10 10:12:01 +08:00
    @DeHoo #15 谷歌得更新版本了 更新后就安全了
    xiaowangge
        17
    xiaowangge  
       2018-01-10 10:12:40 +08:00
    $ 开始进行测试...
    $ 正在进行 8M 缓存测试,请稍候...
    $ 正在进行 16M 缓存测试,请稍候...
    $ 正在进行 32M 缓存测试,请稍候...
    $
    $ 测试完成
    $ 您的浏览器环境容易遭受 Spectre 漏洞的攻击
    $ 请及时进行系统及浏览器的相关修复
    $

    Phariel
        18
    Phariel  
       2018-01-10 10:19:24 +08:00
    刚刚检测还是 Your browser is NOT VULNERABLE to Spectre
    升了一下 chrome 立马就好了
    Phariel
        19
    Phariel  
       2018-01-10 10:20:05 +08:00
    @phariel 打错了,应该是 Your browser is VULNERABLE to Spectre
    iVeego
        20
    iVeego  
       2018-01-10 10:25:42 +08:00
    我的是 Chrome 版本 63.0.3239.132 (正式版本)( 64 位),也是容易被攻击。

    但是检测更新,提示是最新的。
    feilaoda
        21
    feilaoda  
       2018-01-10 10:28:44 +08:00
    $ 开始进行测试...
    $
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    $

    chrome 63.0.3239.132
    测试程序有 bug ?
    MonoLogueChi
        22
    MonoLogueChi  
       2018-01-10 10:29:58 +08:00 via Android
    手机是没问题,但是电脑真没办法

    ![]( https://t1.aixinxi.net/o_1c3eub2ts15lo72610uu1328i6ia.jpg-w.jpg)
    yuluofanchen
        23
    yuluofanchen  
       2018-01-10 12:15:11 +08:00
    $ 开始进行测试...
    $
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    $
    lovedebug
        24
    lovedebug  
       2018-01-10 12:21:42 +08:00
    不装。不放心~~ > _ <
    gy911201
        25
    gy911201  
       2018-01-10 12:25:08 +08:00
    @feilaoda Chrome 推送了一个设置,拒绝了 SharedArrayBuffer 的调用,如果收到了这个推送,不能用这个类了,就可以直接判断不易遭受攻击………
    sunocean
        26
    sunocean  
       2018-01-10 12:28:47 +08:00
    赶紧手动更新了 chrome
    bkmi
        27
    bkmi  
       2018-01-10 12:50:38 +08:00
    @DeHoo 这不是很正常吗,有什么搞笑的
    loading
        28
    loading  
       2018-01-10 12:56:09 +08:00 via Android
    大家还是没有区分“容易被” 和 “不会” 的区别。
    Flobit
        29
    Flobit  
       2018-01-10 12:57:41 +08:00 via Android
    我特么居然在手机上打开,然后检测了半天
    clino
        30
    clino  
       2018-01-10 14:16:46 +08:00
    为什么我在 chrome 57 版本上检测说没有
    但是更新到 chrome 63 以后报告"您的浏览器环境容易遭受 Spectre 漏洞的攻击"
    醉了...
    stephen9357
        31
    stephen9357  
       2018-01-10 15:01:47 +08:00
    @clino 看 25L 的回复,估计你得等一会才能收到 google 的推送,或者手工去 chrome://flags 里面禁用掉 SharedArrayBuffer。
    jason19659
        32
    jason19659  
       2018-01-10 15:30:12 +08:00
    微软太 6 了。虚拟机里的 edge 会,IE 不会
    clino
        33
    clino  
       2018-01-10 15:34:38 +08:00
    @stephen9357 #31 奇怪了,我去 flags 里搜不到你说的这个 SharedArrayBuffer ...
    shintendo
        34
    shintendo  
       2018-01-10 16:19:30 +08:00
    @clino chrome://flags/#shared-array-buffer
    free4537
        35
    free4537  
       2018-01-10 16:25:04 +08:00
    @feilaoda 我和你版本一样,但结果是不易受攻击。
    zn
        36
    zn  
       2018-01-10 16:45:30 +08:00
    Chrome 63 瞬间检测 $ Your browser is NOT VULNERABLE to Spectre
    Safari 检测一会提示 $ Your browser is NOT VULNERABLE to Spectre
    Opera 49 检测一会提示 $ Your browser is VULNERABLE to Spectre


    那么问题来了,这个漏洞是系统级的漏洞吗?怎么不同的浏览器结果不一样?
    系统已经升级到最新 macOS 10.13.2。
    cubelate
        37
    cubelate  
       2018-01-10 16:48:51 +08:00
    同问这个漏洞的机制,跟浏览器的关系是?
    clino
        38
    clino  
       2018-01-10 16:53:46 +08:00
    @shintendo #34 验证通过,感谢!
    xman99
        39
    xman99  
       2018-01-10 17:04:11 +08:00
    Win 7 x64 版本,chrome 版本 63.0.3239.108 (正式版本)
    $ 开始进行测试...
    $
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    $
    很正常吧
    jadeity
        40
    jadeity  
       2018-01-10 17:13:47 +08:00
    第一次,危险
    第二次,安全
    第三次,危险
    第四次,危险

    没再试了
    shintendo
        41
    shintendo  
       2018-01-10 17:24:22 +08:00
    @zn
    @cubelate

    漏洞是系统级的漏洞,但是对于个人用户来说,主要的威胁来自于通过浏览器 js 的攻击,个人理解
    newhua
        42
    newhua  
       2018-01-10 17:31:03 +08:00 via Android
    不受影响
    tghgffdgd
        43
    tghgffdgd  
       2018-01-10 19:47:19 +08:00
    同样 64 位 63.0.3239.132 公司红的,家里绿的。只跟浏览器有关?
    broker
        44
    broker  
       2018-01-10 19:51:57 +08:00
    dd0754
        45
    dd0754  
       2018-01-10 22:47:47 +08:00
    $ 开始进行测试...
    $
    $ 经过我们的测试
    $ 您的浏览器环境暂时不容易遭受 Spectre 漏洞的攻击
    $
    akira
        46
    akira  
       2018-01-10 23:08:02 +08:00
    他是不是先直接判断浏览器版本号了啊,秒出测试结果
    darkzw
        47
    darkzw  
       2018-04-18 15:33:15 +08:00
    tk 教主 v5.
    好久前的洞了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3305 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 13:19 · PVG 21:19 · LAX 06:19 · JFK 09:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.