CNNVD关于多个CPU数据缓存机制漏洞的通报

admin
admin
admin
101398
文章
87
评论
2022年5月16日09:20:33评论43 views字数 2646阅读8分49秒阅读模式

CNNVD关于多个CPU数据缓存机制漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到多个关于CPU数据缓存机制漏洞(Meltdown:CNNVD-201801-150、CVE-2017-5753和CNNVD-201801-152、CVE-2017-5715;Spectre:CNNVD-201801-151、CVE-2017-5754)情况的报送。成功利用以上漏洞的攻击者可使用低权限的应用程序访问系统内存,从而造成数据泄露。Intel、AMD、ARM的处理器及其关联的上层操作系统和云平台均受此漏洞影响,经证实的操作系统包括Windows、Linux和MacOS,经证实的云平台包括基于Xen PV、OpenVZ等构架的云端基础设施。目前,微软、苹果、红帽、亚马逊、腾讯云、VMware等厂商针对相关漏洞提供了修复补丁或缓解措施。

建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其他不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。

一、漏洞介绍

漏洞源于处理器数据缓存边界机制中存在缺陷,攻击者可以通过滥用“错误推测执行”来有效的泄露内存信息。Meltdown漏洞可用于打破应用程序和操作系统之间的内存数据隔离。 Spectre 漏洞可用于打破不同程序之间的内存数据隔离。攻击者利用漏洞可访问计算机内存,窃取数据,还可以攻击云计算平台,获取到其他用户未加密明文密码和一些敏感信息。

二、危害影响

成功利用以上漏洞的攻击者可访问内存,读取其他程序的内存数据,包括密码、用户的私人照片、邮件、即时通讯信息等敏感数据。由于漏洞的特殊性,因此涉及多个领域中的软件和硬件厂商产品,包括Intel处理器、ARM处理器、AMD处理器;使用Intel处理器的Windows、Linux、MacOS等操作系统、云计算环境;Firefox浏览器、 Chrome浏览器、 Edge浏览器;VMware、亚马逊、Red Hat、Xen等厂商产品均受到漏洞影响。

三、修复建议

由于漏洞的特殊性,涉及了硬件和软件等多个厂商产品,建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其它不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。

相关修补措施如下:

Inter

安全公告链接:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

微软

修补措施链接:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893

https://www.catalog.update.microsoft.com/Search.aspx?q=windows+security+update+2018

https://www.catalog.update.microsoft.com/Search.aspx?q=4056568

亚马逊

修补措施链接:

https://alas.aws.amazon.com/ALAS-2018-939.html

安全公告链接:

https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?nc1=h_ls

ARM

修补措施链接:

https://developer.arm.com/support/security-update

谷歌

修补措施链接:

https://source.android.com/security/bulletin/2018-01-01

https://support.google.com/faqs/answer/7622138

Red Hat

修补措施链接:

https://access.redhat.com/security/vulnerabilities/speculativeexecution

Xen

安全公告链接:

http://xenbits.xen.org/xsa/advisory-254.html

Mozilla

修补措施链接:

https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

安全公告链接:

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

VMware

修补措施链接:

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

AMD

安全公告链接:

https://www.amd.com/en/corporate/speculative-execution

SuSE Linux

修补措施链接:

https://www.suse.com/support/kb/doc/?id=7022512


本通报由CNNVD技术支撑单位——安天科技股份有限公司、华为技术有限公司(华为未然实验室)、北京启明星辰(积极防御实验室) 提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: [email protected]

CNNVD关于多个CPU数据缓存机制漏洞的通报

CNNVD关于多个CPU数据缓存机制漏洞的通报

原文始发于微信公众号(CNNVD安全动态):CNNVD关于多个CPU数据缓存机制漏洞的通报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日09:20:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CNNVD关于多个CPU数据缓存机制漏洞的通报https://cn-sec.com/archives/871931.html

发表评论

匿名网友 填写信息