來自:快科技
http://news.mydrivers.com/1/563/563580.htm
前不久曝光的CPU熔斷和幽靈漏洞安全事件引發業內高度關註。
1月16日,全國資訊保安標準化技術委員會針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關廠商和安全專家,編製釋出了《網路安全實踐指南—CPU熔斷和幽靈漏洞防範指引》。https://www.tc260.org.cn/front/postDetail.html?id=20180116090719
據介紹,熔斷漏洞利用CPU亂序執行技術的設計缺陷,破壞了記憶體隔離機制,使惡意程式可越權訪問作業系統記憶體資料,造成敏感資訊洩露。
而幽靈漏洞利用了CPU推測執行技術的設計缺陷,破壞了不同應用程式間的邏輯隔離,使惡意應用程式可能獲取其它應用程式的私有資料,造成敏感資訊洩露。
熔斷漏洞設計幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設計所有的Intel CPU、AMD CPU,以及部分ARM CPU。
本次披露的漏洞屬於晶片級漏洞,來源於硬體,需要從CPU架構和指令執行機理層面進行修複。主要影響和風險包括竊取記憶體資料、造成敏感資訊洩漏等。目前尚未發現利用上述漏洞針對個人使用者的直接攻擊。
據瞭解,該《防範指引》面向受漏洞威脅的四類典型使用者,包括雲服務提供商、伺服器使用者、雲租戶、個人使用者等,給出了詳細的防範指引,並提供了部分廠商安全公告和補丁連結。
《防範指引》指出,雲服務提供商和伺服器使用者應在參考CPU廠商和作業系統廠商建議的基礎上,結合自身環境制定升級方案,綜合考慮安全風險、效能損耗等因素,採取相關安全措施防範安全風險;
雲租戶和個人使用者應及時關註雲服務提供商、作業系統廠商、瀏覽器廠商等提供的安全補丁,及時升級,避免受到漏洞的影響。
部分廠商安全公告和補丁連結:
Intel
https://security-center.intel.com/
https://newsroom.intel.cn/press-kits/security-exploits-intel-products/
AMD
http://www.amd.com/en/corporate/speculative-execution
ARM
https://developer.arm.com/support/security-update
NVIDIA
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
微軟(作業系統)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
蘋果
https://support.apple.com/zh-cn/HT208394
Android
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
微軟IE/Edge
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
Firefox
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Chrome
https://www.chromium.org/Home/chromium-security/ssca
Safari
https://support.apple.com/zh-cn/HT208394
●本文編號279,以後想閱讀這篇文章直接輸入279即可
●輸入m獲取文章目錄
C/C++程式設計
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。