關于CPU處理器內核存在Meltdown和Spectre漏洞的安全公告

(作者: 文章來源:www.cnvd.org.cn 發布日期:2018-01-05 瀏覽數:)

安全公告編號:CNTA-2018-0001

1月4日,國家信息安全漏洞共享平臺(CNVD)收錄了CPU處理器內核的Meltdown漏洞(CNVD-2018-00303,對應CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,對應CVE-2017-5715和CVE-2017-5753)。利用上述漏洞,攻擊者可以繞過內存訪問的安全隔離機制,使用惡意程序來獲取操作系統和其他程序的被保護數據,造成內存敏感信息泄露。目前漏洞的利用細節尚未公布。

一、漏洞情況分析
 

現代的計算機處理器芯片通常使用“推測執行”(speculative execution)和“分支預測”(Indirect Branch Prediction)技術實現對處理器計算資源的最大化利用。但由于這兩種技術在實現上存在安全缺陷,無法通過正確判斷將低權限的應用程序訪存與內核高權限的訪問分開,使得攻擊者可以繞過內存訪問的安全隔離邊界,在內核中讀取操作系統和其他程序的內存數據,造成敏感信息泄露。具體如下:

1)Meltdown漏洞的利用破壞了用戶程序和操作系統之間的基本隔離,允許攻擊者未授權訪問其他程序和操作系統的內存,獲取其他程序和操作系統的敏感信息。

2)Spectre漏洞的利用破壞了不同應用程序之間的安全隔離,允許攻擊者借助于無錯程序(error-free)來獲取敏感信息。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍
 

該漏洞存在于英特爾(Intel)x86-64的硬件中,在1995年以后生產的Intel處理器芯片都可能受到影響。同時AMD、Qualcomm、ARM處理器也受到影響。

同時使用上述處理器芯片的操作系統(Windows、Linux、Mac OS、Android)和云計算平臺也受此漏洞影響。

三、處置措施
 

目前,操作系統廠商已經發布補丁更新,如Linux, Apple和Android,微軟也已發布補丁更新。CNVD建議用戶及時下載補丁進行更新,參考鏈接:

Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android:https://source.android.com/security/bulletin/2018-01-01

Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM:https://developer.arm.com/support/security-update

Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution

Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Xen:https://xenbits.xen.org/xsa/advisory-254.html

附:參考鏈接:

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/

 



原文:http://www.cnvd.org.cn/webinfo/show/4353

168彩票网