近日�,一個影響范圍廣泛��、基于處理器芯片的安全漏洞被披露���,引起各方關注����。
起因
2017年Google Project Zero安全團隊發(fā)現(xiàn)了由Intel CPU架構(gòu)設計缺陷引發(fā)的兩個漏洞,一個稱為“Meltdown(熔斷���,對應漏洞CVE-2017-5754)”���,另一個被稱為“Spectre(幽靈,對應漏洞CVE-2017-5753/CVE-2017-5715)”����。
受影響的處理器
這些漏洞可以影響到Intel近10年發(fā)布的x86處理器。
ARM在其官網(wǎng)上列出了漏洞影響的處理器����,包括:CrotexR7、R8����、A8���、A9、A15�����、A17�、A53、A57����、A72、A73和A75��。
AMD的x86處理器架構(gòu)設計上與Intel有所不同��,所以只有“Spectre”漏洞對AMD處理器有輕微影響���。
由于這個漏洞是架構(gòu)上的缺陷���,因此,無論你使用什么樣的系統(tǒng)(Windows��、IOS、Android)���、什么樣的設備(電腦�、手機�����、服務器)都可能受到影響����。
漏洞危害
在Intel以及其他現(xiàn)代化處理器都有用到推測執(zhí)行���,這類指令有很高的訪問權(quán)限���,可以訪問到不應該或不允許訪問的內(nèi)核,“Meltdown”和“Spectre”便是利用該這些指令去執(zhí)行一些惡意操作��。
Meltdown漏洞直接打破核心內(nèi)存保護機制��,允許惡意代碼直接訪問敏感內(nèi)容���。
Spectre則通過篡改其他應用程序的內(nèi)存��,欺騙他們?nèi)ピL問核心內(nèi)存地址���。
雖然漏洞影響范圍極廣����,截至目前���,也沒有任何已知的利用這些漏洞進行攻擊的案例被發(fā)現(xiàn)�。
漏洞修復進展
Intel:
Intel表示會聯(lián)合其他廠商對過去5年內(nèi)發(fā)布的90%產(chǎn)品進行補丁更新��,并強調(diào)合作伙伴測試表明了修復漏洞后對性能不會有太大影響���,對普通用戶的影響甚至可以忽略不計�����。
AMD:
AMD官方表示“Spectre”可以通過軟件和操作系統(tǒng)補丁進行修復����,幾乎不會對心梗造成影響��,并因為架構(gòu)設計不同��,“Meltdown”不會對AMD處理器造成任何影響��。
操作系統(tǒng)廠商:
Windows��、Linux和MacOS操作系統(tǒng)均為“Meltdown”推出相應的系統(tǒng)安全更新,網(wǎng)頁瀏覽器也已經(jīng)有相應的新版本升級���。
華云已和Intel取得聯(lián)系��,正在積極開展修復方案驗證����。修復方案確認穩(wěn)定可行后���,華云會第一時間安排云計算基礎平臺的升級,修復處理器安全漏洞���,升級過程可能需要部分用戶配合實施重啟操作���。請保持通訊(電子郵件、手機)暢通��,我們會提前和您確認合適的升級時間���。
普通用戶可以怎么做����?
1、升級網(wǎng)頁瀏覽器到最新版本
現(xiàn)在惡意攻擊主要都是通過聯(lián)網(wǎng)進行�,所以網(wǎng)頁瀏覽器是一道不可忽視的防線,微軟已經(jīng)放出了新版Edge和IE瀏覽器封堵漏洞���,Google��、蘋果將在之后的Chrome64和Safari提供安全補丁��,用戶注意升級即可�。
2���、升級操作系統(tǒng)最新安全補丁
微軟已于近日為Windows10推送了安全補丁更新(KB4056890��、Version1709)�,而蘋果早在去年十二月的iOS11.2和macOS 10.13.2上針對“Meltdown”做了緩解措施��,用戶可以檢查自己PC和手機上系統(tǒng)版本是否為最新版��。
3�、升級設備固件
大家可以根據(jù)自己筆記本電腦臺式機主板的型號到廠商官方網(wǎng)站進行查詢支持信息信息是否有新版固件����、BIOS升級�����。
這些漏洞未來一段時間內(nèi)仍然是各界關注的重點�����,華云數(shù)據(jù)將對漏洞動態(tài)保持持續(xù)關注���,從而為廣大用戶提供更加準確的參考信息����,以及更加可靠的解決方案�����。
