漏洞预警英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统

Posted 交大捷普网络科技

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统相关的知识,希望对你有一定的参考价值。

1.
漏洞公告

2018年1月3日,来自于谷歌Project Zero安全团队的安全研究人员等报告,在CPU内核中,存在关于数据缓存边界机制的设计缺陷的“Meltdown”、“Spectre”的两个漏洞。目前已经证实至少英特尔、AMD、ARM的处理器受到此漏洞影响。由于是CPU内核设计缺陷,所以上层操作系统Windows、Linux、Mac OSX等均受到影响。值得特别关注的是,基于Xen PV、OpenVZ等构架的云计算基础设施平台也受到该漏洞的影响。

漏洞编号

  • Meltdown

    • CVE-2017-5754

  • Spectre漏洞

    • CVE-2017-5715

    • CVE-2017-5753

【漏洞预警】英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统

目前该漏洞的部分测试程序已经在互联网上公开:https://github.com/turbo/KPTI-PoC-Collection


2.
漏洞描述

处理器数据缓存边界机制中存在一个缺陷,攻击者可以通过滥用“错误推测执行”来有效的泄露内存信息。“Meltdown”漏洞攻击点可用于打破应用程序和操作系统之间的内存数据隔离,“Spectre” 漏洞攻击点则可用于打破不同程序之间的内存数据隔离。攻击者可以利用此漏洞攻击云计算平台其他用户,可能读取到未加密明文密码和一些敏感信息。

【漏洞预警】英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统


3.
影响范围

理论上过去十年内生产的处理器,都受到此漏洞的影响。

当前已经验证存在漏洞的CPU型号如下:

Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz (Intel Haswell Xeon CPU)

AMD FX(tm)-8320 Eight-Core Processor (AMD FX CPU)

AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G (AMD PRO CPU)

谷歌Nexus 5x手机的ARM Cortex A57处理器

【漏洞预警】英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统

4.
建议修复

英特尔官方回应称,他们和相关科技公司已经完全了解到了安全漏洞的工作机制,如果被恶意利用,有可能会造成信息数据泄露,但是绝没有修改、删除和导致系统崩溃的可能。英特尔强调,他们已经开始提供软件和固件更新。当前暂时没有最新的补丁参考信息。


AMD处理器可以参考此链接信息进行跟踪处理:

http://www.amd.com/en/corporate/speculative-execution


ARM处理器,可以参考此链接信息进行跟进处理:

https://developer.arm.com/support/security-update


部分操作系统及云服务厂商发布补丁用于缓解该漏洞,但无法完全修复漏洞:

微软:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002?from=groupmessage&isappinstalled=0

亚马逊:

https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

Red Hat:

https://access.redhat.com/security/vulnerabilities/speculativeexecution


 "Meltdown"和"Spectre"漏洞修复流程相对复杂建议相关企业/用户务必作好相关的修复评估工作,敬请关注各大CPU芯片厂商的最新补丁更新以完全修复该漏洞,同时,捷普安全实验室将持续跟进此漏洞

交大捷普

18


年专注网络安全

是国内一流的网络信息安全产品和技术领导者

专门为您的网络安全保驾护航





全面安全  超越所想








以上是关于漏洞预警英特尔 CPU 曝严重漏洞, 几乎影响所有操作系统的主要内容,如果未能解决你的问题,请参考以下文章

苹果曝出严重安全漏洞,几乎涵盖所有产品

SQLite曝严重代码执行漏洞,数百万app受到影响

漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

每日安全资讯phpMyAdmin被曝存在严重CSRF漏洞可对数据库造成破坏

PHP My Admin被曝存在严重CSRF漏洞可对数据库造成破坏

漏洞预警Spring Framework被曝多个安全漏洞