1分钟了解处理器芯片安全漏洞事件

来源:华云公众号 更新时间:2018-01-08
近日,一个影响范围广泛、基于处理器芯片的安全漏洞被披露,引起各方关注。

近日,一个影响范围广泛、基于处理器芯片的安全漏洞被披露,引起各方关注。

起因

2017年Google Project Zero安全团队发现了由Intel CPU架构设计缺陷引发的两个漏洞,一个称为“Meltdown(熔断,对应漏洞CVE-2017-5754)”,另一个被称为“Spectre(幽灵,对应漏洞CVE-2017-5753/CVE-2017-5715)”。

受影响的处理器

这些漏洞可以影响到Intel近10年发布的x86处理器。

ARM在其官网上列出了漏洞影响的处理器,包括:CrotexR7、R8、A8、A9、A15、A17、A53、A57、A72、A73和A75。

AMD的x86处理器架构设计上与Intel有所不同,所以只有“Spectre”漏洞对AMD处理器有轻微影响。

由于这个漏洞是架构上的缺陷,因此,无论你使用什么样的系统(Windows、IOS、Android)、什么样的设备(电脑、手机、服务器)都可能受到影响。

漏洞危害

在Intel以及其他现代化处理器都有用到推测执行,这类指令有很高的访问权限,可以访问到不应该或不允许访问的内核,“Meltdown”和“Spectre”便是利用该这些指令去执行一些恶意操作。

Meltdown漏洞直接打破核心内存保护机制,允许恶意代码直接访问敏感内容。

Spectre则通过篡改其他应用程序的内存,欺骗他们去访问核心内存地址。

虽然漏洞影响范围极广,截至目前,也没有任何已知的利用这些漏洞进行攻击的案例被发现。

漏洞修复进展

Intel:

Intel表示会联合其他厂商对过去5年内发布的90%产品进行补丁更新,并强调合作伙伴测试表明了修复漏洞后对性能不会有太大影响,对普通用户的影响甚至可以忽略不计。

AMD:

AMD官方表示“Spectre”可以通过软件和操作系统补丁进行修复,几乎不会对心梗造成影响,并因为架构设计不同,“Meltdown”不会对AMD处理器造成任何影响。

操作系统厂商:

Windows、Linux和MacOS操作系统均为“Meltdown”推出相应的系统安全更新,网页浏览器也已经有相应的新版本升级。

华云已和Intel取得联系,正在积极开展修复方案验证。修复方案确认稳定可行后,华云会第一时间安排云计算基础平台的升级,修复处理器安全漏洞,升级过程可能需要部分用户配合实施重启操作。请保持通讯(电子邮件、手机)畅通,我们会提前和您确认合适的升级时间。

普通用户可以怎么做?

1、升级网页浏览器到最新版本

现在恶意攻击主要都是通过联网进行,所以网页浏览器是一道不可忽视的防线,微软已经放出了新版Edge和IE浏览器封堵漏洞,Google、苹果将在之后的Chrome64和Safari提供安全补丁,用户注意升级即可。

2、升级操作系统最新安全补丁

微软已于近日为Windows10推送了安全补丁更新(KB4056890、Version1709),而苹果早在去年十二月的iOS11.2和macOS 10.13.2上针对“Meltdown”做了缓解措施,用户可以检查自己PC和手机上系统版本是否为最新版。

3、升级设备固件

大家可以根据自己笔记本电脑台式机主板的型号到厂商官方网站进行查询支持信息信息是否有新版固件、BIOS升级。

这些漏洞未来一段时间内仍然是各界关注的重点,华云数据将对漏洞动态保持持续关注,从而为广大用户提供更加准确的参考信息,以及更加可靠的解决方案。