權(quán)威!官方發(fā)布CPU熔斷和幽靈漏洞防范指引:附補(bǔ)丁下載

責(zé)任編輯:editor004

作者:朝暉

2018-01-17 11:38:46

摘自:快科技

1月16日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員,針對(duì)近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關(guān)廠商和安全專家,編制發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引》。

前不久曝光的CPU熔斷和幽靈漏洞安全事件引發(fā)業(yè)內(nèi)高度關(guān)注。

1月16日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員,針對(duì)近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關(guān)廠商和安全專家,編制發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引。

權(quán)威!官方發(fā)布CPU熔斷和幽靈漏洞防范指引:附補(bǔ)丁下載

據(jù)介紹,熔斷漏洞利用CPU亂序執(zhí)行技術(shù)的設(shè)計(jì)缺陷,破壞了內(nèi)存隔離機(jī)制,使惡意程序可越權(quán)訪問操作系統(tǒng)內(nèi)存數(shù)據(jù),造成敏感信息泄露。

而幽靈漏洞利用了CPU推測(cè)執(zhí)行技術(shù)的設(shè)計(jì)缺陷,破壞了不同應(yīng)用程序間的邏輯隔離,使惡意應(yīng)用程序可能獲取其它應(yīng)用程序的私有數(shù)據(jù),造成敏感信息泄露。

熔斷漏洞設(shè)計(jì)幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設(shè)計(jì)所有的Intel CPU、AMD CPU,以及部分ARM CPU。

本次披露的漏洞屬于芯片級(jí)漏洞,來源于硬件,需要從CPU架構(gòu)和指令執(zhí)行機(jī)理層面進(jìn)行修復(fù)。主要影響和風(fēng)險(xiǎn)包括竊取內(nèi)存數(shù)據(jù)、造成敏感信息泄漏等。目前尚未發(fā)現(xiàn)利用上述漏洞針對(duì)個(gè)人用戶的直接攻擊。

據(jù)了解,該《防范指引》給受漏洞威脅的四類典型用戶,包括云服務(wù)提供商、服務(wù)器用戶、云租戶、個(gè)人用戶等,給出了詳細(xì)的防范指引,并提供了部分廠商安全公告和補(bǔ)丁鏈接。

《防范指引》指出,云服務(wù)提供商和服務(wù)器用戶應(yīng)在參考CPU廠商和操作系統(tǒng)廠商建議的基礎(chǔ)上,結(jié)合自身環(huán)境制定升級(jí)方案,綜合考慮安全風(fēng)險(xiǎn)、性能損耗等因素,采取相關(guān)安全措施防范安全風(fēng)險(xiǎn);

云租戶和個(gè)人用戶應(yīng)及時(shí)關(guān)注云服務(wù)提供商、操作系統(tǒng)廠商、瀏覽器廠商等提供的安全補(bǔ)丁,及時(shí)升級(jí),避免受到漏洞的影響。

權(quán)威!官方發(fā)布CPU熔斷和幽靈漏洞防范指引:附補(bǔ)丁下載

  部分廠商安全公告和補(bǔ)丁鏈接:

Intel

https://security-center.intel.com/

https://newsroom.intel.cn/press-kits/security-exploits-intel-products/

AMD

http://www.amd.com/en/corporate/speculative-execution

ARM

https://developer.arm.com/support/security-update

NVIDIA

http://nvidia.custhelp.com/app/answers/detail/a_id/4611

微軟(操作系統(tǒng))

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002

https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

蘋果

https://support.apple.com/zh-cn/HT208394

Android

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

https://www.chromium.org/Home/chromium-security/ssca

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

微軟IE/Edge

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002

Firefox

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

Chrome

https://www.chromium.org/Home/chromium-security/ssca

Safari

https://support.apple.com/zh-cn/HT208394

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)