关于英特尔等多款中央处理器（CPU） 存在高危漏洞的预警通报

  

接中央网信办预警：3日，美国TheRegister、AppleInsider等多家科技新闻网站报道，英特尔x86处理器在底层设计方面存在两个高危漏洞”崩溃“（Meltdown）和”幽灵“（Spectre）。1995年之后生产的所有英特尔处理器，以及使用这些处理器的Windows、Linux和MacOS等操作系统都可能受到影响。此外，ARM、AMD两种处理器也受到影响。

据外媒报道，利用该漏洞攻击者可以在其登录的设备上越权窃取数据，还可以突破云平台的虚拟化隔离，跨账户窃取其他虚拟用户的数据。英特尔本身无法采用固件升级方式修复该漏洞，只能在操作系统层面进行修复，Windows、Linux、MacOS等操作系统都需要更新。

 CNVD关于上述漏洞的安全公告，

详见：http://www.cnvd.org.cn/webinfo/show/4353

微软于1月3日发布补丁，详见：

https://support.microsoft.com/en-us/help/4073229/windows-protect-device-against-chip-related-security-vulnerability

绿盟科技关于Intel处理器漏洞威胁通告，详见：

http://blog.nsfocus.net/intel-meltdownspectre/

安天漏洞通告，，详见：

http://www.antiy.com/response/Meltdown.html

 建议措施：

目前，此漏洞的攻击利用工具已经在互联网上传播。

1、请及时将相关情况通报本地区本部门重要网络和信息系统运营单位。

2、督促做好漏洞排查，系统升级和修复。

目前，操作系统厂商已经发布补丁更新，如Linux, Apple和Android，微软也已发布补丁更新。CNVD建议用户及时下载补丁进行更新，参考链接：

Linux：http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android：https://source.android.com/security/bulletin/2018-01-01

Microsoft：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon：https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM：https://developer.arm.com/support/security-update

Google：https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Nvidia：https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Intel：https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Xen：https://xenbits.xen.org/xsa/advisory-254.html

附：参考链接：

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/