安全专栏
安全专栏

关于对CPU处理器内核存在Meltdown和Spectre漏洞开展安全加固的紧急通报

  • 作者:
  • 来源:
  • 发布时间:2018-01-08
  • 点击量:

接相关部门通报,2018年1月4日,由国外安全机构披露“Meltdown”(融化)和“Spectre”(幽灵)两组CPU漏洞,该漏洞影响全球所有桌面电脑、笔记本和服务器,攻击可以让PC端本应受到保护的信息被外部拦截获取,网民的隐私信息存在被暴露的风险。

该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。

各操作系统厂商已经发布该漏洞补丁,下载地址详见附件,鉴于紧急下发的补丁可能与电脑上部分软件出现不兼容问题,请用户谨慎操作,更新补丁前请做好充分测试及回退措施。

网信办建议Windows用户使用360安全卫士推出的“CPU漏洞免疫工具”,该工具可一键检测电脑是否存在漏洞,全方位排查补丁兼容性,并为受到漏洞影响的系统及浏览器推送安全更新。由于CPU漏洞的最大威胁是针对浏览器的恶意网页攻击,免疫工具会对浏览器进行检测,提示用户升级到已有补丁的最新版本,从而阻断恶意网页攻击CPU漏洞的入侵通道。

附件1:360安全卫士CPU漏洞免疫工具cpuleak_scan.zip,下载后解压缩运行即可。

附件2:各操作系统厂商已经发布补丁更新地址

Intel
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Microsoft
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM
https://developer.arm.com/support/security-update
Google
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
MITRE
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
Red Hat
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Xen
http://xenbits.xen.org/xsa/advisory-254.html
Mozilla
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
VMware
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
AMD
https://www.amd.com/en/corporate/speculative-execution

 

  • 附件【cpuleak_scan.zip】已下载