近日����,一個(gè)影響范圍廣泛、基于處理器芯片的安全漏洞被披露�,引起各方關(guān)注。
起因
2017年Google Project Zero安全團(tuán)隊(duì)發(fā)現(xiàn)了由Intel CPU架構(gòu)設(shè)計(jì)缺陷引發(fā)的兩個(gè)漏洞����,一個(gè)稱為“Meltdown(熔斷,對(duì)應(yīng)漏洞CVE-2017-5754)”��,另一個(gè)被稱為“Spectre(幽靈�����,對(duì)應(yīng)漏洞CVE-2017-5753/CVE-2017-5715)”。
受影響的處理器
這些漏洞可以影響到Intel近10年發(fā)布的x86處理器���。
ARM在其官網(wǎng)上列出了漏洞影響的處理器�,包括:CrotexR7�、R8、A8�����、A9��、A15��、A17��、A53�、A57、A72�����、A73和A75。
AMD的x86處理器架構(gòu)設(shè)計(jì)上與Intel有所不同��,所以只有“Spectre”漏洞對(duì)AMD處理器有輕微影響���。
由于這個(gè)漏洞是架構(gòu)上的缺陷��,因此�����,無(wú)論你使用什么樣的系統(tǒng)(Windows、IOS��、Android)�、什么樣的設(shè)備(電腦、手機(jī)��、服務(wù)器)都可能受到影響����。
漏洞危害
在Intel以及其他現(xiàn)代化處理器都有用到推測(cè)執(zhí)行,這類指令有很高的訪問權(quán)限�����,可以訪問到不應(yīng)該或不允許訪問的內(nèi)核,“Meltdown”和“Spectre”便是利用該這些指令去執(zhí)行一些惡意操作���。
Meltdown漏洞直接打破核心內(nèi)存保護(hù)機(jī)制��,允許惡意代碼直接訪問敏感內(nèi)容����。
Spectre則通過篡改其他應(yīng)用程序的內(nèi)存�����,欺騙他們?nèi)ピL問核心內(nèi)存地址����。
雖然漏洞影響范圍極廣,截至目前�,也沒有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現(xiàn)。
漏洞修復(fù)進(jìn)展
Intel:
Intel表示會(huì)聯(lián)合其他廠商對(duì)過去5年內(nèi)發(fā)布的90%產(chǎn)品進(jìn)行補(bǔ)丁更新����,并強(qiáng)調(diào)合作伙伴測(cè)試表明了修復(fù)漏洞后對(duì)性能不會(huì)有太大影響,對(duì)普通用戶的影響甚至可以忽略不計(jì)�。
AMD:
AMD官方表示“Spectre”可以通過軟件和操作系統(tǒng)補(bǔ)丁進(jìn)行修復(fù),幾乎不會(huì)對(duì)心梗造成影響��,并因?yàn)榧軜?gòu)設(shè)計(jì)不同,“Meltdown”不會(huì)對(duì)AMD處理器造成任何影響����。
操作系統(tǒng)廠商:
Windows、Linux和MacOS操作系統(tǒng)均為“Meltdown”推出相應(yīng)的系統(tǒng)安全更新�,網(wǎng)頁(yè)瀏覽器也已經(jīng)有相應(yīng)的新版本升級(jí)。
華云已和Intel取得聯(lián)系���,正在積極開展修復(fù)方案驗(yàn)證���。修復(fù)方案確認(rèn)穩(wěn)定可行后,華云會(huì)第一時(shí)間安排云計(jì)算基礎(chǔ)平臺(tái)的升級(jí)���,修復(fù)處理器安全漏洞,升級(jí)過程可能需要部分用戶配合實(shí)施重啟操作�����。請(qǐng)保持通訊(電子郵件��、手機(jī))暢通�,我們會(huì)提前和您確認(rèn)合適的升級(jí)時(shí)間。
普通用戶可以怎么做�?
1���、升級(jí)網(wǎng)頁(yè)瀏覽器到最新版本
現(xiàn)在惡意攻擊主要都是通過聯(lián)網(wǎng)進(jìn)行,所以網(wǎng)頁(yè)瀏覽器是一道不可忽視的防線��,微軟已經(jīng)放出了新版Edge和IE瀏覽器封堵漏洞�,Google、蘋果將在之后的Chrome64和Safari提供安全補(bǔ)丁��,用戶注意升級(jí)即可�����。
2�����、升級(jí)操作系統(tǒng)最新安全補(bǔ)丁
微軟已于近日為Windows10推送了安全補(bǔ)丁更新(KB4056890�����、Version1709)�,而蘋果早在去年十二月的iOS11.2和macOS 10.13.2上針對(duì)“Meltdown”做了緩解措施,用戶可以檢查自己PC和手機(jī)上系統(tǒng)版本是否為最新版���。
3�����、升級(jí)設(shè)備固件
大家可以根據(jù)自己筆記本電腦臺(tái)式機(jī)主板的型號(hào)到廠商官方網(wǎng)站進(jìn)行查詢支持信息信息是否有新版固件���、BIOS升級(jí)�����。
這些漏洞未來(lái)一段時(shí)間內(nèi)仍然是各界關(guān)注的重點(diǎn)�,華云數(shù)據(jù)將對(duì)漏洞動(dòng)態(tài)保持持續(xù)關(guān)注��,從而為廣大用戶提供更加準(zhǔn)確的參考信息���,以及更加可靠的解決方案�����。
