打开

多个CPU数据缓存机制存在漏洞 用户需谨慎选择修复方案

时讯

看看新闻Knews记者 陈俊杰

2018-01-05 19:57

近日,国家信息安全漏洞库(CNNVD)收到多个关于CPU数据缓存机制漏洞(Meltdown:CNNVD-201801-150、CVE-2017-5753和CNNVD-


201801-152、CVE-2017-5715;Spectre:CNNVD-201801-151、CVE-2017-5754)情况的报送。成功利用以上漏洞的攻击者可使用低权限的应用程序访问系统内存,从而造成数据泄露。Intel、AMD、ARM的处理器及其关联的上层操作系统和云平台均受此漏洞影响,经证实的操作系统包括Windows、Linux和MacOS,经证实的云平台包括基于Xen PV、OpenVZ等构架的云端基础设施。目前,微软、苹果、红帽、亚马逊、腾讯云、VMware等厂商针对相关漏洞提供了修复补丁或缓解措施。


建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其他不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。


一、漏洞介绍


漏洞源于处理器数据缓存边界机制中存在缺陷,攻击者可以通过滥用“错误推测执行”来有效的泄露内存信息。Meltdown漏洞可用于打破应用程序和操作系统之间的内存数据隔离。 Spectre 漏洞可用于打破不同程序之间的内存数据隔离。攻击者利用漏洞可访问计算机内存,窃取数据,还可以攻击云计算平台,获取到其他用户未加密明文密码和一些敏感信息。


二、危害影响


成功利用以上漏洞的攻击者可访问内存,读取其他程序的内存数据,包括密码、用户的私人照片、邮件、即时通讯信息等敏感数据。由于漏洞的特殊性,因此涉及多个领域中的软件和硬件厂商产品,包括Intel处理器、ARM处理器、AMD处理器;使用Intel处理器的Windows、Linux、MacOS等操作系统、云计算环境;Firefox浏览器、 Chrome浏览器、 Edge浏览器;VMware、亚马逊、Red Hat、Xen等厂商产品均受到漏洞影响。
三、修复建议


由于漏洞的特殊性,涉及了硬件和软件等多个厂商产品,建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其它不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。
相关修补措施如下:
Inter
安全公告链接:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https:/
ewsroom.intel.com
ews/intel-responds-to-security-research-findings/
微软
修补措施链接:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893
https://www.catalog.update.microsoft.com/Search.aspx?q=windows+security+update+2018
https://www.catalog.update.microsoft.com/Search.aspx?q=4056568
亚马逊
修补措施链接:
https://alas.aws.amazon.com/ALAS-2018-939.html
安全公告链接:
https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?nc1=h_ls
ARM
修补措施链接:
https://developer.arm.com/support/security-update
谷歌
修补措施链接:
https://source.android.com/security/bulletin/2018-01-01
https://support.google.com/faqs/answer/7622138
Red Hat
修补措施链接:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Xen
安全公告链接:
http://xenbits.xen.org/xsa/advisory-254.html
Mozilla
修补措施链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
安全公告链接:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
VMware
修补措施链接:
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
AMD
安全公告链接:
https://www.amd.com/en/corporate/speculative-execution
SuSE Linux
修补措施链接:
https://www.suse.com/support/kb/doc/?id=7022512

(看看新闻Knews记者:陈俊杰 编辑:胡晓虎)

相关推荐 更多精彩内容

暂无列表

APP 内打开
打开看看新闻参与讨论