歡迎光臨
每天分享高質量文章

權威!官方釋出CPU熔斷和幽靈漏洞防範指引:附補丁下載

來自:快科技

http://news.mydrivers.com/1/563/563580.htm

前不久曝光的CPU熔斷和幽靈漏洞安全事件引發業內高度關註。

1月16日,全國資訊保安標準化技術委員會針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關廠商和安全專家,編製釋出了《網路安全實踐指南—CPU熔斷和幽靈漏洞防範指引》。https://www.tc260.org.cn/front/postDetail.html?id=20180116090719

據介紹,熔斷漏洞利用CPU亂序執行技術的設計缺陷,破壞了記憶體隔離機制,使惡意程式可越權訪問作業系統記憶體資料,造成敏感資訊洩露。


而幽靈漏洞利用了CPU推測執行技術的設計缺陷,破壞了不同應用程式間的邏輯隔離,使惡意應用程式可能獲取其它應用程式的私有資料,造成敏感資訊洩露。

熔斷漏洞設計幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設計所有的Intel CPU、AMD CPU,以及部分ARM CPU。

本次披露的漏洞屬於晶片級漏洞,來源於硬體,需要從CPU架構和指令執行機理層面進行修複。主要影響和風險包括竊取記憶體資料、造成敏感資訊洩漏等。目前尚未發現利用上述漏洞針對個人使用者的直接攻擊。

據瞭解,該《防範指引》面向受漏洞威脅的四類典型使用者,包括雲服務提供商、伺服器使用者、雲租戶、個人使用者等,給出了詳細的防範指引,並提供了部分廠商安全公告和補丁連結。

《防範指引》指出,雲服務提供商和伺服器使用者應在參考CPU廠商和作業系統廠商建議的基礎上,結合自身環境制定升級方案,綜合考慮安全風險、效能損耗等因素,採取相關安全措施防範安全風險;

雲租戶和個人使用者應及時關註雲服務提供商、作業系統廠商、瀏覽器廠商等提供的安全補丁,及時升級,避免受到漏洞的影響。

部分廠商安全公告和補丁連結:

Intel

https://security-center.intel.com/

https://newsroom.intel.cn/press-kits/security-exploits-intel-products/

AMD

http://www.amd.com/en/corporate/speculative-execution

ARM

https://developer.arm.com/support/security-update

NVIDIA

http://nvidia.custhelp.com/app/answers/detail/a_id/4611

微軟(作業系統)

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002

https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

蘋果

https://support.apple.com/zh-cn/HT208394

Android

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

https://www.chromium.org/Home/chromium-security/ssca

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

微軟IE/Edge

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002

Firefox

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

Chrome

https://www.chromium.org/Home/chromium-security/ssca

Safari

https://support.apple.com/zh-cn/HT208394


●本文編號279,以後想閱讀這篇文章直接輸入279即可

●輸入m獲取文章目錄

推薦↓↓↓

 

C/C++程式設計

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

贊(0)

分享創造快樂