【漏洞预警】CNNVD关于多个CPU数据缓存机制漏洞的通报

发布时间:2018-01-05   

       近日,国家信息安全漏洞库(CNNVD)收到多个关于CPU数据缓存机制漏洞(Meltdown:CNNVD-201801-150、CVE-2017-5753和CNNVD-201801-152、CVE-2017-5715;Spectre:CNNVD-201801-151、CVE-2017-5754)情况的报送。成功利用以上漏洞的攻击者可使用低权限的应用程序访问系统内存,从而造成数据泄露。Intel、AMD、ARM的处理器及其关联的上层操作系统和云平台均受此漏洞影响,经证实的操作系统包括Windows、Linux和MacOS,经证实的云平台包括基于Xen PV、OpenVZ等构架的云端基础设施。目前,微软、苹果、红帽、亚马逊、腾讯云、VMware等厂商针对相关漏洞提供了修复补丁或缓解措施。

       建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其他不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。

一、漏洞介绍

       漏洞源于处理器数据缓存边界机制中存在缺陷,攻击者可以通过滥用“错误推测执行”来有效的泄露内存信息。Meltdown漏洞可用于打破应用程序和操作系统之间的内存数据隔离。 Spectre 漏洞可用于打破不同程序之间的内存数据隔离。攻击者利用漏洞可访问计算机内存,窃取数据,还可以攻击云计算平台,获取到其他用户未加密明文密码和一些敏感信息。

二、危害影响

       成功利用以上漏洞的攻击者可访问内存,读取其他程序的内存数据,包括密码、用户的私人照片、邮件、即时通讯信息等敏感数据。由于漏洞的特殊性,因此涉及多个领域中的软件和硬件厂商产品,包括Intel处理器、ARM处理器、AMD处理器;使用Intel处理器的Windows、Linux、MacOS等操作系统、云计算环境;Firefox浏览器、 Chrome浏览器、 Edge浏览器;VMware、亚马逊、Red Hat、Xen等厂商产品均受到漏洞影响。

三、修复建议

       由于漏洞的特殊性,涉及了硬件和软件等多个厂商产品,建议受影响的用户及时确认产品版本和相关厂商发布的修复或缓解措施。鉴于漏洞存在于较为底层的组件,完全修复漏洞涉及的操作系统、应用软件较多,可能带来兼容性和其它不可预知的问题,请受影响用户综合评估,谨慎选择修复方案。

       相关修补措施如下:

厂商

修补措施

安全公告

1

Inter

暂无

·         https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

·         https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

2

微软

·         https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893

https://www.catalog.update.microsoft.com/Search.aspx?q=windows+security+update+2018

·         https://www.catalog.update.microsoft.com/Search.aspx?q=4056568

3

亚马逊

https://alas.aws.amazon.com/ALAS-2018-939.html

·         https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?nc1=h_ls

4

ARM

https://developer.arm.com/support/security-update

5

谷歌

https://source.android.com/security/bulletin/2018-01-01

https://support.google.com/faqs/answer/7622138

6

Red Hat

https://access.redhat.com/security/vulnerabilities/speculativeexecution

7

Xen

暂无

·         http://xenbits.xen.org/xsa/advisory-254.html

8

Mozilla

https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

9

VMware

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

 

10

AMD

 

https://www.amd.com/en/corporate/speculative-execution

11

SuSE Linux

https://www.suse.com/support/kb/doc/?id=7022512

 

       本通报由CNNVD技术支撑单位——安天科技股份有限公司、华为技术有限公司(华为未然实验室)、北京启明星辰(积极防御实验室) 提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

       联系方式: cnnvd@itsec.gov.cn



漏洞预警快速查询