|
更多全球網(wǎng)絡(luò)安全資訊盡在E安全官網(wǎng)www. E安全1月5日訊
近期���,英特爾處理器當(dāng)中曝出“Meltdown”(熔斷)和“Spectre”
(幽靈)兩大新型漏洞�����,包括AMD�����、ARM����、英特爾系統(tǒng)和處理器在內(nèi)�,幾乎近20年發(fā)售的所有設(shè)備都受到影響,例如手機(jī)���、電腦�����、服務(wù)器以及云計(jì)算產(chǎn)品����。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息,這意味著包括密碼�、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄��。
目前漏洞編號(hào)已被確定為: 就是他發(fā)現(xiàn)的這兩個(gè)漏洞
在英特爾這兩大CPU漏洞爆發(fā)之前�����,安全人士普遍認(rèn)為處理器“內(nèi)核”內(nèi)存是不允許用戶訪問��,不可能被攻擊的�。 
然而31歲的信息安全研究人員丹尼爾·格魯斯(Daniel Gruss)最近黑掉了自己的計(jì)算機(jī)����,攻破了CPU(中央處理器)的“內(nèi)室”,并從中“竊取”了機(jī)密信息����,由此發(fā)現(xiàn)過去20年英特爾生產(chǎn)的大多數(shù)芯片中的這處缺陷��。 截止目前���,暫無微軟客戶因這兩個(gè)漏洞收到攻擊的報(bào)告。 各供應(yīng)商已經(jīng)紛紛發(fā)布指導(dǎo)信息��,幫助客戶保護(hù)自身免受Spectre或Meltdown漏洞的影響�����。為了更易于理解與操作��,E安全將在本文中匯總各項(xiàng)建議與相關(guān)鏈接�����。 官方建議�����、通知���、補(bǔ)丁或更新: 云計(jì)算公司官網(wǎng)發(fā)現(xiàn)已經(jīng)發(fā)出升級(jí)通告的有:AWS���、Azure��、阿里云�、 金山云等云計(jì)算公司都在為其所用的操作系統(tǒng)以及云服務(wù)更新打補(bǔ)丁通告�。 目前未發(fā)出升級(jí)通告的有:Google Cloud、IBM Cloud�、UCloud、騰訊云����、華為云、青云QingCloud�����、網(wǎng)易云���、百度云、京東云�����、比格云��、美團(tuán)云、小鳥云����、 滴滴云等。
英特爾公司發(fā)布了與本批漏洞相關(guān)的新聞稿�,其中提到:
英特爾及其它技術(shù)企業(yè)已經(jīng)意識(shí)到安全研究當(dāng)中用于描述軟件分析的方法在惡意目的的作用下,有可能以意外方式從計(jì)算機(jī)設(shè)備中收集到敏感數(shù)據(jù)�����。英特爾確信此類漏洞利用行為不會(huì)對(duì)數(shù)據(jù)本身造成破壞��、修改或者刪除�。 最近有報(bào)道稱,這些漏洞屬于“bug”或者“缺陷”��,且單純影響到英特爾產(chǎn)品�����。但基于迄今為止的研究結(jié)論�����,多種類型的計(jì)算設(shè)備(包括多種來自不同供應(yīng)商的處理器與操作系統(tǒng))皆有可能受到其影響。 已為處理器設(shè)備制造商提供固件補(bǔ)丁
英特爾公司已經(jīng)為使用其受影響的處理器設(shè)備制造商提供了固件補(bǔ)丁��,其中包括支持?jǐn)?shù)百萬個(gè)操作系統(tǒng)的Core�����、Xeon��、Atom����、Pentium、以及Celeron CPU 芯片�����。
云服務(wù)相關(guān)最新動(dòng)態(tài)
微軟已為Surface發(fā)布補(bǔ)?���。盒迯?fù)Meltdown和Spectre兩大CPU漏洞�。在最新的支持文檔中,微軟表示已經(jīng)理清了這兩個(gè)漏洞影響云服務(wù)的具體方式���,并部署了妥善的方案來確保用戶安全��。 Surface是美國微軟公司推出的硬件品牌�,2012年微軟發(fā)布了Surface系列平板電腦。 此外微軟已經(jīng)為運(yùn)行Windows 10的多款Surface設(shè)備提供了更新��,包括: Surface Pro 3 Surface Pro 4 Surface Book Surface Studio Surface Pro Model 1796 Surface Laptop Surface Pro with LTE Advanced Surface Book 2
微軟發(fā)言人表示更新正在陸續(xù)推送中�����,用戶也可以通過檢查設(shè)備的內(nèi)部更新或者訪問Microsoft Download Center來手動(dòng)下載���。 據(jù)悉�����,英特爾公司現(xiàn)在已發(fā)布了一款工具����,可以用來檢測系統(tǒng)是否受到相關(guān)漏洞的影響���。 Amazon方面已經(jīng)發(fā)布一項(xiàng)安全公告�,囊括與AWS服務(wù)受Meltdown與Spectre兩大漏洞影響的相關(guān)信息���??偨Y(jié)來講,這份公告指出:
此項(xiàng)安全漏洞廣泛存在于過去20年推出的英特爾��、AMD以及ARM等各類現(xiàn)代處理器架構(gòu)當(dāng)中�����,影響范圍涵蓋服務(wù)器���、臺(tái)式機(jī)以及移動(dòng)設(shè)備�����。Amazon EC2體系中除極少數(shù)實(shí)例外�,其余皆受到嚴(yán)格保護(hù)�。剩余部分的修復(fù)工作將在接下來數(shù)小時(shí)內(nèi)完成,并附有相關(guān)實(shí)例維護(hù)通知�����。 雖然AWS所執(zhí)行的更新能夠切實(shí)保護(hù)底層基礎(chǔ)設(shè)施����,但為了充分解決此次問題,客戶還應(yīng)對(duì)實(shí)例中的操作系統(tǒng)進(jìn)行修復(fù)��。目前Amazon Linux更新已經(jīng)開始發(fā)布���,您可參閱以下資料以獲取更多實(shí)例說明以及AWS相關(guān)指導(dǎo)����。 完整公告參閱:https://aws.amazon.com/security/security-bulletins/AWS-2018-013/ AMD公司目前還沒有發(fā)布官方公告�����,但該公司軟件工程師Tom Lendacky已經(jīng)在Linux內(nèi)核聯(lián)系人郵件列表中發(fā)送一封郵件:
AMD處理器擁有內(nèi)核頁表隔離功能���,因此不會(huì)受到此類攻擊活動(dòng)的影響�����。AMD微架構(gòu)不允許包括推測引用在內(nèi)的任何內(nèi)存引用操作�����,因此不存在導(dǎo)致頁面錯(cuò)誤從而通過較低權(quán)限訪問較高權(quán)限數(shù)據(jù)的情況��。
AMD處理器在默認(rèn)情況下未對(duì)負(fù)責(zé)控制X86_FEATURE_PTI的X86_BUG_CPU_INSECURE功能進(jìn)行設(shè)置����,此代表著禁用頁表隔離功能。
Windows 內(nèi)部專家Alex Ionescu 則評(píng)論稱: AMD公司的官方反應(yīng)表明���,他們至少對(duì)此輪攻擊中的部分變種感到擔(dān)憂���。而英特爾方面的反應(yīng)則“并非”不誠實(shí),而只是經(jīng)過了巧妙的斟酌��??偠灾舜吻闆r確實(shí)影響到眾多芯片供應(yīng)商的芯片設(shè)計(jì)方案�。
— Alex Ionescu (@aionescu) 2018年1月3日
Android團(tuán)隊(duì)已經(jīng)于2018年1月更新了以下通告:
CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754為已經(jīng)得到公開披露的一系列與處理器內(nèi)推測執(zhí)行相關(guān)的漏洞����。Android尚未發(fā)現(xiàn)任何在基于ARM的Android設(shè)備之上重現(xiàn)上述漏洞以進(jìn)行的未授權(quán)信息泄露行為。
為了提供額外的保護(hù)措施����,本公告當(dāng)中包含的CVE-2017-13218更新減少了對(duì)高精度定時(shí)器的訪問,旨在限制旁路攻擊(例如CVE-2017-5715�、CVE-2017-5753以及CVE-2017-5754)所有已知變種對(duì)ARM處理器的影響。 建議Android用戶盡快在設(shè)備上安裝可用的安全更新��。
完整公告參閱: https://source./security/bulletin/2018-01-01
目前,蘋果公司尚未發(fā)布任何官方回應(yīng)�����。
Windows內(nèi)部專家Alex Ionescu 表示: 大家可能都在考慮同一個(gè)問題:MacOS是否會(huì)修復(fù)英特爾#KPTI問題����?答案是肯定的����。請參考10.13.2版本中的“Double
Map”以及10.13.3版本中的更多驚喜(受到開發(fā)者保密協(xié)議的約束,這里無法向大家展示更多信息)��。cc @i0n1c @s1guza @patrickwardlepic.twitter.com/S1YJ9tMS63 — Alex Ionescu (@aionescu) 2018年1月3日
ARM方面發(fā)布了一項(xiàng)安全公告�����,其中列出了最易受到Meltdown與Spectre攻擊活動(dòng)影響的ARM處理器清單��。
根據(jù)近期由谷歌公司發(fā)布的研究結(jié)果��,面對(duì)這批潛在的新型緩存計(jì)時(shí)旁路利用處理器推測漏洞���,部分ARM處理器有可能受到相關(guān)影響���,ARM表示同時(shí)發(fā)布對(duì)應(yīng)緩解措施��,后續(xù)還將在這里公布更多新的研究結(jié)果�。 完整ARM安全公告請參閱此處: https://developer./support/security-update
作為此項(xiàng)bug的發(fā)現(xiàn)方之一的谷歌�����,發(fā)布了一批關(guān)于Spectre與Meltdown的詳細(xì)信息�����。強(qiáng)烈建議大家認(rèn)真閱讀以下文章以了解更多技術(shù)信息:
谷歌公司亦向Google
Cloud����、G Suite以及Chrome用戶發(fā)布了安全公告。該公告主要提到Google Cloud以及G
Suite已經(jīng)完成緩解上述漏洞的必要更新�����。如果客戶使用自己的操作系統(tǒng)����,則需要安裝與漏洞相關(guān)的其它操作系統(tǒng)更新。最后,Chrome與ChromeOS用戶可以開啟“站點(diǎn)隔離”功能以獲得進(jìn)一步的保護(hù)���。 完整公告參閱: https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/
Google Cloud受影響產(chǎn)品及用戶/客戶操作列表包括: Google Compute Engine Google Kubernetes Engine Google Cloud Dataflow Google Cloud Dataproc
Linux內(nèi)核開發(fā)者Thomas Gleixner在2017年12月在Linux內(nèi)核郵件列表中就新的KAISER隔離補(bǔ)丁發(fā)布了說明�。目前有人懷疑這批補(bǔ)丁可能正是為了解決Linux系統(tǒng)當(dāng)中的Metldown與Spectre bug��。
完整說明參閱: https:///lkml/2017/12/4/709
微軟公司目前尚未發(fā)布任何官方建議或更新����,但計(jì)劃推出一項(xiàng)臨時(shí)更新����。以下為來自微軟發(fā)言人的一條官方采訪回應(yīng):
我們意識(shí)到這個(gè)問題已經(jīng)對(duì)整個(gè)行業(yè)產(chǎn)生影響,且已經(jīng)開始與各芯片制造商緊密合作以開發(fā)并測試緩解措施����,希望借此保護(hù)我們的客戶。我們正在為云服務(wù)部署緩解措施����,同時(shí)發(fā)布相關(guān)安全更新,確保Windows客戶免受AMD�����、ARM以及英特爾硬件芯片內(nèi)漏洞的影響����。目前我們還沒有發(fā)現(xiàn)任何表明這些漏洞已被用于對(duì)我們的客戶發(fā)動(dòng)攻擊的實(shí)際證據(jù)�。
微軟公司已經(jīng)發(fā)布了面向Azure客戶的官方建議��,其中提到: 大部分Azure基礎(chǔ)設(shè)施已經(jīng)完成解決此項(xiàng)漏洞所必需的更新�����。目前仍有部分Azure組件仍在更新當(dāng)中�����,這需要客戶重新啟動(dòng)虛擬機(jī)以使安全更新生效�。如果您在最近幾周收到
Azure 的計(jì)劃維護(hù)通知后已經(jīng)對(duì)虛擬機(jī)完成了維護(hù),您只需要重新啟動(dòng)虛擬機(jī)即可應(yīng)用此項(xiàng)修復(fù)程序——無需任何其它操作���。
大部分 Azure 客戶不會(huì)在此次更新后觀察到到顯著的性能影響�����。我們已經(jīng)對(duì) CPU 和磁盤讀寫進(jìn)行優(yōu)化�,在修復(fù)后并未發(fā)現(xiàn)明顯的性能影響��。我們會(huì)持續(xù)監(jiān)控平臺(tái)性能并積極響應(yīng)客戶反饋。 為了修復(fù)該漏洞���,這次 Azure 基礎(chǔ)設(shè)施在虛擬化引擎級(jí)別進(jìn)行了更新�,您不必更新 Windows 或 Linux 鏡像����。然而,我們?nèi)匀粡?qiáng)烈建議您在虛擬機(jī)鏡像上繼續(xù)應(yīng)用最佳安全實(shí)踐�����。 英偉達(dá)方面已經(jīng)公布一項(xiàng)建議�,宣稱其目前判斷自家GPU產(chǎn)品不會(huì)受到此項(xiàng)bug的影響���,但調(diào)查工作仍在進(jìn)行當(dāng)中:
英偉達(dá)公司的核心業(yè)務(wù)為GPU計(jì)算產(chǎn)品�����。我們確信我們的GPU硬件不會(huì)受到近期所報(bào)告的安全問題的影響���,并正在更新GPU驅(qū)動(dòng)程序以協(xié)助解決可能出現(xiàn)的CPU安全問題。對(duì)于我們采用ARM
CPU的系統(tǒng)芯片產(chǎn)品���,我們已經(jīng)對(duì)其進(jìn)行分析����,旨在確定具體哪些型號(hào)可能受到影響,同時(shí)為其準(zhǔn)備適當(dāng)?shù)木徑獯胧?/p> 完整公告參閱: https://forums./default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
紅帽公司已經(jīng)發(fā)布一項(xiàng)建議�����,其中列出受到影響的產(chǎn)品及其當(dāng)前狀態(tài)�。建議內(nèi)容表明:
對(duì)于正在運(yùn)行受影響版本產(chǎn)品的紅帽客戶,強(qiáng)烈建議用戶盡快根據(jù)指導(dǎo)清單進(jìn)行更新�����。所有受影響產(chǎn)品都應(yīng)安裝修復(fù)補(bǔ)丁�����,借以緩解CVE-2017-5753 (變種1)與 CVE-2017-5754 (變種3)漏洞�����。CVE-2017-5715 (變種2)可通過本地以及虛擬訪客邊界兩種方式被加以利用���。 完整建議參閱: https://access./security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
Xen項(xiàng)目已經(jīng)發(fā)布一份非常詳細(xì)的建議�����,其中描述了Spectre與Meltdown漏洞將對(duì)Xen虛擬機(jī)管理程序產(chǎn)生怎樣的影響:
Xen訪客將有可能推測任意主機(jī)內(nèi)存中的存儲(chǔ)內(nèi)容��,包括本應(yīng)分配給其他訪客的內(nèi)容����。 攻擊者選定的代碼可通過增加數(shù)字方式實(shí)現(xiàn)推測性執(zhí)行(從而輕松提取有用信息)。對(duì)于啟用SMEP(監(jiān)管模式執(zhí)行保護(hù))的SP1或SP2系統(tǒng):在對(duì)用戶提交索引進(jìn)行綁定檢查后�,攻擊者將被限制在當(dāng)前代碼窗口之內(nèi)。對(duì)于未啟用SMEP的SP2系統(tǒng)��,或者SP3系統(tǒng)���,攻擊者將能夠編寫任意代碼以實(shí)現(xiàn)推測執(zhí)行�����。 完整說明參閱: https://xenbits./xsa/advisory-254.html 據(jù)國外媒體報(bào)道,英特爾芯片存在安全漏洞的消息在本周被公之于眾����,而在漏洞公開之前,英特爾CEO布萊恩·科再奇拋售了3900萬美元的英特爾股票���,但在拋售之前��,安全研究人員就已通知英特爾其芯片存在的漏洞�����。
英特爾CEO布萊恩·科再奇 注:本文由E安全編譯報(bào)道,轉(zhuǎn)載請注明原文地址
https://www./news/263753966.shtml
|
