Meltdown 和 Spectre 漏洞的相关安全公告、补丁和更新清单
翻译:360代码卫士团队
上一盘文章《Intel 称所有 CPU 厂商均受漏洞影响 补丁对电脑性能的影响没传说中的严重》提到,现代处理器中存在的新漏洞 Meltdown 和 Spectre 可导致恶意程序从其它程序的内存中窃取信息,如密码、账户信息、加密密钥以及从理论上来讲所有存储在进程内存中的信息。跟这两个漏洞相关的CVE 编号是 CVE-2017-5753、CVE-2017-5715 和 CVE-2017-5754。
建议读者可阅读谷歌发布的安全公告(https://meltdownattack.com/)来获知关于这两个漏洞的更多详情。
官方安全公告、通知、补丁或更新
(1) 亚马逊
亚马逊发布安全公告,说明了亚马逊 AWS 服务如何受这两个漏洞的影响。公告概述称,“这个漏洞已存在20多年,它现身于现代处理器机构中如 Intel、AMD 和 ARM 中,涉及服务器、电脑和移动设备。Amazon EC2系列中只有个位数的实例已部署防御措施,其它产品会在几小时内完成防护,并将提供相关的实例维护通知。
亚马逊还表示,“虽然 AWS 发布了保护底层基础设施的更新,但为了更加全面地抵御这些漏洞问题,消费者还必须修复自己的实例操作系统。Amazon Linux 已推出相关更新,并提供了更新现有实例的指南。”
完整安全公告可见:https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
(2) AMD
AMD 截至目前并未发布安全公告。
(3) 安卓
安卓发布安全公告,并提供相关防御措施。具体请见:
https://source.android.com/security/bulletin/2018-01-01
(4) 苹果
苹果公司尚未发布官方回应。
(5) ARM
ARM 发布了一份安全公告,列出了疑似受 Meltdown 和 Spectre 攻击的 ARM 处理器。
具体请见: https://developer.arm.com/support/security-update。
(6) 谷歌
由于谷歌是发现这个 bug 的三个团队之一,因此他们公布了更详细的信息。强烈建议读者阅读以下文章。
https://meltdownattack.com/
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
谷歌还为 Google Cloud、G Suite 和 Chrome 用户发布了安全公告。一言以蔽之,这个公告表示 Google Cloud 和 G Suite 已经更新缓解了这些漏洞问题。如果用户使用的是其它操作系统,那么需要安装所有的相关更新。Chrome 和 ChromeOS 用户也可打开 Site Isolation 获得更多的保护措施。
完整安全公告可见:
https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/
(7) Intel
在之前推送的文章中已概述了 Intel 的声明。完整声明可见:
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
(8) Linux Foundation
尚未发布安全公告。上篇推送文章已说明有人在12月份发布 KAISER 分离补丁时曾怀疑修复的就是 Linux 中的这两个漏洞。
(9) 微软
微软刚刚发布带外更新解决这两个几乎影响自1995年发布的所有 CPU 版本的漏洞。
微软本来计划在下周的“补丁星期二”中发布更新,但谷歌发布详情后被迫提前发布。微软发布安全公告表示,这些 Windows 安全更新解决了多个 Windows 版本中的 Meltdown 和 Spectre 漏洞。
| 操作系统版本 | 更新KB |
|---|---|
| Windows Server 版本1709 (Server Core Installation) | 4056892 |
| Windows Server 2016 | 4056890 |
| Windows Server 2012 R2 | 4056898 |
| Windows Server 2012 | 尚未发布 |
| Windows Server 2008 R2 | 4056897 |
| Windows Server 2008 | 尚未发布 |
微软的更新并不全面。一些 Windows 系统电脑可能需要更新 CPU 固件才能缓解 Spectre 攻击,不过微软的更新似乎完全解决了 Meltdown 缺陷。
一些反病毒软件中的问题可能导致 BSOD
微软警告称,Meltdown 和 Spectre 安全修复方案跟一些反病毒产品并不兼容。
微软表示,“在测试过程中,我们发现一些第三方应用已经开始向 Windows内核存储拨打不受支持的调用,可导致出现蓝屏错误发生。这些错误导致设备无法启动。为了阻止由不兼容问题引发的蓝屏错误,微软仅为运行证实自家软件和2018年1月 Windows 操作系统安全更新兼容的合作方的反病毒软件的设备提供在2018年1月3日发布的Windows 安全更新。如果你未收到安全更新,你可能运行的是不兼容的反病毒软件,那么你就应该按照软件供应商的要求来做。”
由于目前尚未发现利用 Meltdown 或 Spectre 漏洞的攻击证据,因此微软建议用户等待反病毒供应商更新产品。微软指出,当反病毒供应商更新产品支持这两个漏洞的补丁时,他们会按照微软的指导在操作系统上创建一个自定义注册表键,这样 Windows 就会在用户同意的情况下下载并应用正确的安全修复方案。
在此前的推送文章中,我们了解到微软为 Azure 用户发布官方公告称,Azure 基础架构已更新,不过某些部分仍在更新中,届时用户需要重启虚拟机以启用安全更新。具体安全公告可见:https://twitter.com/aionescu/status/930412525111296000
(10) 英伟达 (Nvidia)
Nvidia 已发布公告表示,目前公司认为自己的 GPU 并未受影响,不过调查仍在进行当中。完整公告可见:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
(11) Redhat
Redhat 已发布安全公告说明了受影响产品及其状态列表。公告建议用户尽快应用更新。完整公告请见:https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
(12) Xen
Xen 项目组已发布了一份关于 Spectre 和Meltdown 漏洞如何影响 Xen 虚拟化管理系统的超详细安全公告。完整文章可见:https://xenbits.xen.org/xsa/advisory-254.html。
关联阅读
戴尔等三家供应商已在笔记本电脑等设备中禁用Intel ME固件
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/