鄂尔多斯市网信办就处理器内核高危漏洞发出预警
1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown(熔毁)漏洞(CNVD-2018-00303)和Spectre(幽灵)漏洞(CNVD-2018-00302和CNVD-2018-00304)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。该漏洞的综合评级为“高危”。
从目前了解情况来看,包括以英特尔为主,ARM、AMD等大部分主流处理器芯片,Windows、Linux、macOS、Android等主流操作系统都受上述漏洞的影响,尤其英特尔芯片最为严重。采用这些芯片和操作系统的公有云服务提供商、云平台都受到影响,百度云、阿里云、微软Azure、亚马逊等云平台均受到影响,广大终端用户都有可能遭遇攻击。特别对云计算基础设施的影响最为严重。
从目前所掌握的情况来看,该漏洞几乎覆盖全部连接互联网的终端设备。建议广大用户采取以下应对措施:
一是密切跟踪该漏洞的最新情况,对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,及时修复漏洞。
目前,操作系统厂商已经发布补丁更新,如Linux, Apple和Android,微软也已发布补丁更新。建议用户及时下载补丁进行更新,参考链接:
Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw
Android:https://source.android.com/security/bulletin/2018-01-01
Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM:https://developer.arm.com/support/security-update
Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution
Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
Xen:https://xenbits.xen.org/xsa/advisory-254.html
二是加强网络安全防护和情报收集工作,发生网络安全事件及时向市网信办报告。
鄂尔多斯市互联网信息办公室
2018年1月8日
来源:鄂尔多斯市互联网信息办公室