權威!官方發布CPU熔斷和幽靈漏洞防范指引:附補丁下載
前不久曝光的 CPU 熔斷和幽靈漏洞安全事件引發業內高度關注。
1 月 16 日,全國信息安全標準化技術委員,針對近期披露的 CPU 熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關廠商和安全專家,編制發布了《網絡安全實踐指南—CPU 熔斷和幽靈漏洞防范指引》。
據介紹,熔斷漏洞利用 CPU 亂序執行技術的設計缺陷,破壞了內存隔離機制,使惡意程序可越權訪問操作系統內存數據,造成敏感信息泄露。
而幽靈漏洞利用了 CPU 推測執行技術的設計缺陷,破壞了不同應用程序間的邏輯隔離,使惡意應用程序可能獲取其它應用程序的私有數據,造成敏感信息泄露。
熔斷漏洞設計幾乎所有的 Intel CPU 和部分 ARM CPU;幽靈漏洞設計所有的 Intel CPU、AMD CPU,以及部分 ARM CPU。
本次披露的漏洞屬于芯片級漏洞,來源于硬件,需要從 CPU 架構和指令執行機理層面進行修復。主要影響和風險包括竊取內存數據、造成敏感信息泄漏等。目前尚未發現利用上述漏洞針對個人用戶的直接攻擊。
據了解,該《防范指引》面向受漏洞威脅的四類典型用戶,包括云服務提供商、服務器用戶、云租戶、個人用戶等,給出了詳細的防范指引,并提供了部分廠商安全公告和補丁鏈接。
《防范指引》指出,云服務提供商和服務器用戶應在參考 CPU 廠商和操作系統廠商建議的基礎上,結合自身環境制定升級方案,綜合考慮安全風險、性能損耗等因素,采取相關安全措施防范安全風險;
云租戶和個人用戶應及時關注云服務提供商、操作系統廠商、瀏覽器廠商等提供的安全補丁,及時升級,避免受到漏洞的影響。
部分廠商安全公告和補丁鏈接:
Intel
https://security-center.intel.com/
https://newsroom.intel.cn/press-kits/security-exploits-intel-products/
AMD
http://www.amd.com/en/corporate/speculative-execution
ARM
https://developer.arm.com/support/security-update
NVIDIA
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
微軟(操作系統)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
蘋果
https://support.apple.com/zh-cn/HT208394
Android
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
微軟 IE/Edge
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
Firefox
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Chrome
https://www.chromium.org/Home/chromium-security/ssca
Safari
https://support.apple.com/zh-cn/HT208394
來自: 驅動之家