1月4日,國家信息安全漏洞共享平臺(CNVD)收錄了 CPU處理器內(nèi)核的 Meltdown 漏洞(CNVD-2018-00303 ,對應CVE-2017-5754 )和 Spectre 漏洞(CNVD-2018-00302 和CNVD-2018-00304,對應 CVE-2017-5715 和 CVE-2017-5753)。利用上述漏洞,攻擊者可以繞過內(nèi)存訪問的安全隔離機制,使用惡意程序來獲取操作系統(tǒng)和其他程序的被保護數(shù)據(jù),造成內(nèi)存敏感信息泄露。目前漏洞的利用細節(jié)尚未公布。
一、漏洞情況分析
現(xiàn)代的計算機處理器芯片通常使用“推測執(zhí)行”(speculative execution)和“分支預測”(Indirect Branch Prediction)技術實現(xiàn)對處理器計算資源的最大化利用。但由于這兩種技術在實現(xiàn)上存在安全缺陷,無法通過正確判斷將低權限的應用程序訪存與內(nèi)核高權限的訪問分開,使得攻擊者可以繞過內(nèi)存訪問的安全隔離邊界,在內(nèi)核中讀取操作系統(tǒng)和其他程序的內(nèi)存數(shù)據(jù),造成敏感信息泄露。具體如下:
1)Meltdown 漏洞的利用破壞了用戶程序和操作系統(tǒng)之間的基本隔離,允許攻擊者未授權訪問其他程序和操作系統(tǒng)的內(nèi)存,獲取其他程序和操作系統(tǒng)的敏感信息。
2)Spectre漏洞的利用破壞了不同應用程序之間的安全隔離,允許攻擊者借助于無錯程序(error-free)來獲取敏感信息。 CNVD 對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
該漏洞存在于英特爾(Intel)x86-64 的硬件中,在 1995 年以后生產(chǎn)的 Intel 處理器芯片都可能受到影響。同時 AMD、Qualcomm、ARM 處理器也受到影響。 同時使用上述處理器芯片的操作系統(tǒng)(Windows、Linux、Mac OS、Android)和
云計算平臺也受此漏洞影響。
三、應對措施
目前,操作系統(tǒng)廠商已經(jīng)發(fā)布補丁更新,如 Linux, Apple 和Android,微軟也已發(fā)布補丁更新。我中心建議用戶及時下載補丁進行更新,參考鏈接
Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw
Android:https://source.android.com/security/bulletin/2018-01-01
Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM:https://developer.arm.com/support/security-update
Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution
Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-spe
culative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
Xen:https://xenbits.xen.org/xsa/advisory-254.html
附:參考鏈接:
https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre
vulnerability-advisories-patches-and-updates/
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:關于 CPU 處理器內(nèi)核存在 Meltdown 和 Spectre 漏洞的預警通報
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839624336.html