招生代码:5651报名办事热线:0827-6666666
- 网络讯息中心
有关英特尔等多款中央处理器(CPU)存在高危漏洞的预警通报

澳门金沙总站:2018-01-08 17:18:09    点击次数:1220

据国家网络与讯息平安讯息通报中心监测发现,Intel(英特尔)、ARM、AMD等多款处理器芯片存在高危平安漏洞,利用此漏洞攻击者可读取未经授权的CPU缓存数据,或许导致用户账号、登录秘钥、邮件内涵等敏感讯息泄露。现将相干情况通报如下:

一、概述

GOOGLE企业的Project Zero平安团队于1月4日公布了此重大平安漏洞,影响甚广。该漏洞事件源于处理器芯片硬件层面的设计缺陷,涉及Meltdown(CVE-2017-5753和CVE-2017-5715)、Spectre(CVE-2017-5754)两组CPU特性。漏洞利用芯片硬件层面实行加速机制的实现缺陷实现侧信道攻击,可以间接经过CPU缓存读取(窃取)系统内存数据。此外,还可以突破云平台的虚拟化隔离,跨账户窃取其他虚拟用户的数据。由于涉及硬件,该漏洞无法经过芯片的微码(microcode)更新实行修复,需要经过内核级别的修复来处置,并且据研究表明,修复该漏洞会牺牲5%-30%的性能。

二、影响范围

使用了Intel(英特尔)、ARM、AMD等受害处理器的所有操纵系统(包括Windows、Linux、macOS、Android等)均受到影响。

经剖析研判,本次平安事件首要影响云计算行业,或许受影响的云计算办事提供商包括AMAZON、MicroSoft、GOOGLE、Tencent云等。

三、处置创议

鉴于该漏洞影响范围大,潜在危害程度高,创议各关键讯息基础设施单位马上升级补丁(见附件)。网络讯息中心的网络办理人员和网络平安人员对门户网站和应用系统后台做到升级。请各处室、系部重要数据使用部门的劳动人员做到相干升级与数据备份,防止在使用时数据泄露。同时关注各厂商发布的漏洞修复办法,在确保平安的前提下及时堵塞漏洞,消除平安隐患,提高平安防范能力,发现系统遭攻击情况后及时报告网络讯息中心。

网络讯息办理中心

2018年1月7日


附件

相干补丁地址

涉及系统(厂商)

补丁地址

Linux

http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android

https://source.android.com/security/bulletin/2018-01-01

微软

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe

亚马逊

https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM

https://developer.arm.com/support/security-update

谷歌

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Intel

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Red Hat

https://access.redhat.com/security/vulnerabilities/speculativeexecution

Nvidia

https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Xen

https://xenbits.xen.org/xsa/advisory-254.html



XML 地图 | Sitemap 地图