1月16日����,全國信息安全標準化技術委員會針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關廠商和安全專家�����,編制發(fā)布了《網(wǎng)絡安全實踐指南—CPU熔斷和幽靈漏洞防范指引》。
據(jù)介紹����,熔斷漏洞利用CPU亂序執(zhí)行技術的設計缺陷�����,破壞了內(nèi)存隔離機制�,使惡意程序可越權訪問操作系統(tǒng)內(nèi)存數(shù)據(jù)���,造成敏感信息泄露��。
而幽靈漏洞利用了CPU推測執(zhí)行技術的設計缺陷����,破壞了不同應用程序間的邏輯隔離�,使惡意應用程序可能獲取其它應用程序的私有數(shù)據(jù),造成敏感信息泄露���。
熔斷漏洞設計幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設計所有的Intel CPU�����、AMD CPU��,以及部分ARM CPU�����。
本次披露的漏洞屬于芯片級漏洞���,來源于硬件�,需要從CPU架構(gòu)和指令執(zhí)行機理層面進行修復���。主要影響和風險包括竊取內(nèi)存數(shù)據(jù)����、造成敏感信息泄漏等��。目前尚未發(fā)現(xiàn)利用上述漏洞針對個人用戶的直接攻擊����。
據(jù)了解,該《防范指引》面向受漏洞威脅的四類典型用戶��,包括云服務提供商、服務器用戶����、云租戶、個人用戶等�,給出了詳細的防范指引,并提供了部分廠商安全公告和補丁鏈接�����。
《防范指引》指出��,云服務提供商和服務器用戶應在參考CPU廠商和操作系統(tǒng)廠商建議的基礎上�����,結(jié)合自身環(huán)境制定升級方案�,綜合考慮安全風險��、性能損耗等因素�,采取相關安全措施防范安全風險;
云租戶和個人用戶應及時關注云服務提供商、操作系統(tǒng)廠商���、瀏覽器廠商等提供的安全補丁��,及時升級����,避免受到漏洞的影響�。
部分廠商安全公告和補丁鏈接:
Intel
https://security-center.intel.com/
https://newsroom.intel.cn/press-kits/security-exploits-intel-products/
AMD
http://www.amd.com/en/corporate/speculative-execution
ARM
https://developer.arm.com/support/security-update
NVIDIA
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
微軟(操作系統(tǒng))
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
蘋果
https://support.apple.com/zh-cn/HT208394
Android
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
微軟IE/Edge
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
Firefox
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Chrome
https://www.chromium.org/Home/chromium-security/ssca
Safari
https://support.apple.com/zh-cn/HT208394
