近日，國家信息安全漏洞庫（CNNVD）收到多個關(guān)于CPU數(shù)據(jù)緩存機制漏洞（Meltdown：CNNVD-201801-150、CVE-2017-5753和CNNVD-

201801-152、CVE-2017-5715；Spectre：CNNVD-201801-151、CVE-2017-5754）情況的報送。成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問系統(tǒng)內(nèi)存，從而造成數(shù)據(jù)泄露。Intel、AMD、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺均受此漏洞影響,經(jīng)證實的操作系統(tǒng)包括Windows、Linux和MacOS，經(jīng)證實的云平臺包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施。目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對相關(guān)漏洞提供了修復(fù)補丁或緩解措施。

建議受影響的用戶及時確認(rèn)產(chǎn)品版本和相關(guān)廠商發(fā)布的修復(fù)或緩解措施。鑒于漏洞存在于較為底層的組件，完全修復(fù)漏洞涉及的操作系統(tǒng)、應(yīng)用軟件較多，可能帶來兼容性和其他不可預(yù)知的問題，請受影響用戶綜合評估，謹(jǐn)慎選擇修復(fù)方案。

一、漏洞介紹

漏洞源于處理器數(shù)據(jù)緩存邊界機制中存在缺陷，攻擊者可以通過濫用“錯誤推測執(zhí)行”來有效的泄露內(nèi)存信息。Meltdown漏洞可用于打破應(yīng)用程序和操作系統(tǒng)之間的內(nèi)存數(shù)據(jù)隔離。 Spectre 漏洞可用于打破不同程序之間的內(nèi)存數(shù)據(jù)隔離。攻擊者利用漏洞可訪問計算機內(nèi)存，竊取數(shù)據(jù)，還可以攻擊云計算平臺，獲取到其他用戶未加密明文密碼和一些敏感信息。

二、危害影響

成功利用以上漏洞的攻擊者可訪問內(nèi)存，讀取其他程序的內(nèi)存數(shù)據(jù)，包括密碼、用戶的私人照片、郵件、即時通訊信息等敏感數(shù)據(jù)。由于漏洞的特殊性，因此涉及多個領(lǐng)域中的軟件和硬件廠商產(chǎn)品，包括Intel處理器、ARM處理器、AMD處理器；使用Intel處理器的Windows、Linux、MacOS等操作系統(tǒng)、云計算環(huán)境；Firefox瀏覽器、 Chrome瀏覽器、 Edge瀏覽器；VMware、亞馬遜、Red Hat、Xen等廠商產(chǎn)品均受到漏洞影響。
三、修復(fù)建議

由于漏洞的特殊性，涉及了硬件和軟件等多個廠商產(chǎn)品，建議受影響的用戶及時確認(rèn)產(chǎn)品版本和相關(guān)廠商發(fā)布的修復(fù)或緩解措施。鑒于漏洞存在于較為底層的組件，完全修復(fù)漏洞涉及的操作系統(tǒng)、應(yīng)用軟件較多，可能帶來兼容性和其它不可預(yù)知的問題，請受影響用戶綜合評估，謹(jǐn)慎選擇修復(fù)方案。
相關(guān)修補措施如下：
Inter
安全公告鏈接：
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https:/
ewsroom.intel.com
ews/intel-responds-to-security-research-findings/
微軟
修補措施鏈接：
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893
https://www.catalog.update.microsoft.com/Search.aspx?q=windows+security+update+2018
https://www.catalog.update.microsoft.com/Search.aspx?q=4056568
亞馬遜
修補措施鏈接：
https://alas.aws.amazon.com/ALAS-2018-939.html
安全公告鏈接：
https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?nc1=h_ls
ARM
修補措施鏈接：
https://developer.arm.com/support/security-update
谷歌
修補措施鏈接：
https://source.android.com/security/bulletin/2018-01-01
https://support.google.com/faqs/answer/7622138
Red Hat
修補措施鏈接：
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Xen
安全公告鏈接：
http://xenbits.xen.org/xsa/advisory-254.html
Mozilla
修補措施鏈接：
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
安全公告鏈接：
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
VMware
修補措施鏈接：
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
AMD
安全公告鏈接：
https://www.amd.com/en/corporate/speculative-execution
SuSE Linux
修補措施鏈接：
https://www.suse.com/support/kb/doc/?id=7022512

（看看新聞Knews記者：陳俊杰 編輯：胡曉虎）