区人大区政府区政协
当前位置:首页 > 政务信息 > 通知公告

关于重大处理器漏洞Meltdown(熔毁)和Spectre(幽灵)的应急通报_20180106

发布日期:2018-01-06

  全文转发北京市公安局以及北京市政务信息安全应急处置中心通知公告,房山区政务外网各网络成员单位要依通知及时对所属PC终端和服务器进行安全防护,原文以及PDF截图如下:

  关于重大处理器漏洞Meltdown(熔毁)和Spectre(幽灵)的应急通报
 
  据北京网络与信息安全信息通报中心监测发现,北京时间2018年01月03日左右,Google公司披露,英特尔处理器芯片存在非常严重的安全漏洞,该漏洞事件源于芯片硬件层面的设计缺陷,利用该漏洞可能导致攻击者获取到用户设备上的一些敏感数据,例如密码、登录密钥、用户的私人照片、邮件、即时通讯信息甚至是商业秘密文件等。为此,我中心组织技术支持单位对该事件进行跟踪分析,现将具体漏洞情况、影响范围以及安全建议汇总如下:
  1.漏洞情况
  针对英特尔处理器涉及到两种攻击方法,分别为Meltdown和Spectre,Meltdown涉及CVE漏洞编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。
Meltdown破坏了位于用户和操作系统之间的基本隔离,此攻击允许程序访问内存,因此其他程序以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。
  Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行(speculative execution),这是一种优化技术,处理器会推测在未来有用的数据并执行计算。这种技术的目的在于提前准备好计算结果,当这些数据被需要时可立即使用。在此过程中,英特尔没有很好地将低权限的应用程序与访问内核内存分开,这意味着攻击者可以使用恶意应用程序来获取应该被隔离的私有数据。
  2.影响范围
  本次安全事件影响到的范围很广,包括:
  处理器芯片:英特尔、ARM、AMD
  操作系统:Windows、Linux、macOS、Android
  云计算服务提供商:亚马逊、微软、谷歌、腾讯云等。
  3.安全建议
  目前,Linux内核开发人员已经发布了针对Meltdown攻击方式的补丁,Google部分产品和微软公司均已经针对这些攻击方式做出了修补或缓解,其他厂商也将要或已部分推出针对这些攻击方式的补丁,英特尔也提出正在与包括AMD、ARM以及各大操作系统厂商进行合作,以制定行业规范方法,及时、建设性的解决方案。(具体方式详见附件)


  附件:
  安全建议
  目前Linux内核开发人员已经发布了针对Meltdown攻击方式的补丁,详情见:
  https://lwn.net/Articles/738975/
  Google部分产品已经针对这些攻击方式做出了修补,但是在部分情况下还需要用户采取额外的步骤确保产品受保护,针对安卓也将在1月5日推出补丁更新以限制对ARM处理器的所有已知变种攻击。详情见:
  https://support.google.com/faqs/answer/7622138
  微软发布了几个更新来缓解这些漏洞,建议用户在安装操作系统或固件更新之前,请确认防病毒应用程序对其兼容,并且建议用户应用所有可用的Windows操作系统更新,包括2018年1月的Windows安全更新。详情见:
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
  其他厂商也将要或已部分推出针对这些攻击方式的补丁,英特尔也提出正在与包括AMD、ARM以及各大操作系统厂商进行合作,以制定行业规范方法,及时、建设性的解决这个安全问题。

  目前部分厂商已针对此漏洞做出反馈:
VMware:
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
AMD:
https://www.amd.com/en/corporate/speculative-execution
Red Hat:
https://access.redhat.com/security/vulnerabilities/speculativeexecution

 


转摘声明:转摘本站信息请注明来源《房山信息网》并做回链