七乐彩走势图

  • 关于CPU处理器内核存在Meltdown和Spectre漏洞的预警通报

    关于CPU处理器内核存在MeltdownSpectre漏洞的预警通报

    尊敬的客户:

    您好!非常感谢贵司使用海联信息的服务。

    14日,国家信息安全漏洞共享平台(CNVD)收录了CPU处 理器内核的Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302CNVD-2018-00304,对应 CVE-2017-5715  CVE-2017-5753)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据, 造成内存敏感信息泄露。目前漏洞的利用细节尚未公布。

    一、漏洞情况分析

    现代的计算机处理器芯片通常使用 “推测执行” (speculativeexecution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。 但由于这两种技术在实现上存在安全缺陷, 无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开, 使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。具体如下:

    1Meltdown 漏洞的利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。

    2 Spectre漏洞的利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。CNVD 对该漏洞的综合评级为“高危”。

    二、漏洞影响范围

    该漏洞存在于英特尔(Intelx86-64 的硬件中,在 1995 年以后生产的 Intel 处理器芯片都可能受到影响。同时AMDQualcommARM 处理器也受到影响。

    同时使用上述处理器芯片的操作系统(WindowsLinuxMacOSAndroid)和云计算平台也受此漏洞影响。

    三、应对措施

    目前,操作系统厂商已经发布补丁更新,如 Linux, Apple Android,微软也已发布补丁更新。我中心建议用户及时下载补丁进行更新,参考链接

    Linux:

    Android:

    Microsoft:

    Amazon:

    ARM:

    Google:

    Intel:

    RedHat:

    Nvidia:

    Xen:

    附:参考链接:

     

          我司深感不断关注细节、持续改进、不断完善的重要性,我们将通过不懈地努力,证明“海联信息”始终是贵司互联网业务发展最佳的合作伙伴

     

                                          青岛海联信息工程有限公司

                                                   201815