宁夏回族自治区通信管理局
网络与信息安全
2018-04-17
关于“蹭网”类移动应用程序的通...
2018-03-23
关于Exim SMTP Mai...
2018-03-23
宁夏网络安全情况月通报(201...
2018-02-26
关于Intel AMT存在高危...
2018-02-26
关于OAuth 2.0存在第三...
2018-02-26
关于PHP GD Graphi...
2018-02-26
宁夏网络安全情况月通报(201...
2018-01-24
宁夏网络安全情况月通报(201...
2018-01-23
关于Android平台WebV...
2018-01-23
关于CPU处理器内核存在Mel...
 
    网络与信息安全 您的位置>>首页>>网络与信息安全>>漏洞预警>>正文
关于CPU处理器内核存在Meltdown和Spectre漏洞的安全公告
[上传者:Super | 日期:2018-01-23 00:00:00]
 安全公告编号:CNTA-2018-0001

1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,对应CVE-2017-5715和CVE-2017-5753)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。目前漏洞的利用细节尚未公布。

一、漏洞情况分析

现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。具体如下:

1)Meltdown漏洞的利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。

2)Spectre漏洞的利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。

同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。

三、处置措施

目前,操作系统厂商已经发布补丁更新,如Linux, Apple和Android,微软也已发布补丁更新。CNVD建议用户及时下载补丁进行更新,参考链接:

Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android:https://source.android.com/security/bulletin/2018-01-01

Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM:https://developer.arm.com/support/security-update

Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution

Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Xen:https://xenbits.xen.org/xsa/advisory-254.html

附:参考链接:

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/

 

[ 加入收藏 ]   [ 打 印 ] [ 关 闭 ]
上一篇:关于Android平台WebView控件存在跨域访问高危漏洞...
下一篇:关于D-Link DIR系列路由器存在身份验证信息泄露和远程...
宁夏回族自治区通信管理局
             
Copyright © 2010 NingXia Communications Administration.宁夏回族自治区通信管理局版权所有
技术支持: 宁夏卓远信科网络技术有限公司 宁ICP备05000001号  网站标识码:bm07300001