中心首页  机构概述  常见问题  信息化建设  规章制度  业务办理  服务指南  网络安全宣传专题  防勒索病毒专题  疫情百科 
 
Intel处理器漏洞Meltdown(熔毁)和Spectre(幽灵)威胁处置建议
2018-01-06 10:44  

校园网各用户:

近日,Intel处理器被爆出存在硬件上的漏洞,该漏洞源于芯片硬件层面的一处设计BUG。这个BUG会允许程序窃取当前在计算机上处理的数据,并且影响Windows, MacOS, Linux。由于涉及硬件,该漏洞无法通过芯片的微码(microcode)更新进行修复,需要通过内核级别的修复来解决,并且据研究表明,修复该漏洞会牺牲5%-30%的性能,此次漏洞事件共包含Meltdown和Spectre两个安全问题,部分利用代码已经公开。

1月3日晚,微软发布了针对Meltdown和Specter的系统安全更新,请用户开启系统更新功能及时打全最新的安全补丁。

系统版本

KB

Windows Server, version 1709 (Server Core Installation)

4056892

Windows Server 2016

4056890

Windows Server 2012 R2

4056898

Windows Server 2012

暂不可用

Windows Server 2008 R2

4056897

Windows Server 2008

暂不可用

Windows 8

4056897(1月9日发布)

Windows 7

4056898(1月9日发布)

苹果公司发布公告已经对部分系统进行了升级,相关产品及最新版本信息如下:

产品名称

更新版本

iOS

11.2

macOS

10.13.2

tvOS

11.2

Apple Watch

不受影响

Safari

暂未发布更新

根据官方的公告,RedHat、SUSE、Ubuntu等Linux操作系统暂时没有发布更新。

该漏洞存在于CPU硬件中,无法通过固件来修复,目前各厂商都在致力于各自产品的修复,请相关用户及时关注官方的升级通告。

以下是部分厂商的通告链接:

Intel

https://newsroom.intel.com/news/intel-responds-to-security-research-findings

VMWare

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

AMD

https://www.amd.com/en/corporate/speculative-execution

Red Hat

https://access.redhat.com/security/vulnerabilities/speculativeexecution

NVIDIA

https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754

Xen

https://xenbits.xen.org/xsa/advisory-254.html

ARM

https://developer.arm.com/support/security-update

Amazon

https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013

Mozilla

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack

Windows

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Google

https://www.chromium.org/Home/chromium-security/ssca

Apple

https://support.apple.com/en-us/HT208394

HUAWEI

http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en

由于攻击者可通过浏览器嵌入JavaScript脚本,利用此漏洞进行攻击,相关浏览器厂商也提供了升级版本,如下表:

浏览器名称

更新版本

FireFox

57

Chrome

64(将于1月23日更新)

Safari

暂未发布更新

Internet Explorer 11

KB4056890

Microsoft Edge

KB4056890

网络信息中心

2018年1月6日

上一条:【病毒分析】DowginCw病毒家族解析
下一条:安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发
关闭窗口

河南城建学院网络信息中心  地址:河南省平顶山市新城区龙翔大道
电话:0375-2089380  邮编:467036
ICP备案号:豫ICP备13012610号