e-works数字化企业网  »  文章频道  »  基础信息化  »  终端和服务器

关于 CPU 处理器内核存在 Meltdown 和 Spectre 漏洞的预警通报

2018/1/9    来源:国家计算机网络应急技术处理协调中心广东分中心    作者:佚名      
关键字:Meltdown  Spectre  
1月4日,国家信息安全漏洞共享平台(CNVD)收录了 CPU处理器内核的 Meltdown 漏洞(CNVD-2018-00303 ,对应CVE-2017-5754 )和 Spectre 漏洞(CNVD-2018-00302 和CNVD-2018-00304,对应 CVE-2017-5715 和 CVE-2017-5753)。
    1月4日,国家信息安全漏洞共享平台(CNVD)收录了 CPU处理器内核的 Meltdown 漏洞(CNVD-2018-00303 ,对应CVE-2017-5754 )和 Spectre 漏洞(CNVD-2018-00302 和CNVD-2018-00304,对应 CVE-2017-5715 和 CVE-2017-5753)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。目前漏洞的利用细节尚未公布。
 
    一、漏洞情况分析 
 
    现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。具体如下:
 
    1)Meltdown 漏洞的利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。 
 
    2)Spectre漏洞的利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。 CNVD 对该漏洞的综合评级为“高危”。 
 
    二、漏洞影响范围 
 
    该漏洞存在于英特尔(Intel)x86-64 的硬件中,在 1995 年以后生产的 Intel 处理器芯片都可能受到影响。同时 AMD、Qualcomm、ARM 处理器也受到影响。 同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。 
 
    三、应对措施 
 
    目前,操作系统厂商已经发布补丁更新,如 Linux, Apple 和Android,微软也已发布补丁更新。我中心建议用户及时下载补丁进行更新,参考链接 
 
    Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw 
 
    Android:https://source.android.com/security/bulletin/2018-01-01 
 
    Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 
 
 
    Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/ 
 
    ARM:https://developer.arm.com/support/security-update 
 
    Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html 
 
    Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/ 
 
    Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution 
 
    Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-spe
 
    culative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/ 
 
    Xen:https://xenbits.xen.org/xsa/advisory-254.html
 
    附:参考链接: 
 
    https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre
 
    vulnerability-advisories-patches-and-updates/ 
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
兴趣阅读
Meltdown  Spectre  
相关资料
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐