当前位置: 首页 > 通知公告 > 正文

通知公告

关于CPU处理器内核存在Meltdown和Spectre漏洞的安全公告

信息来源: 发布日期: 2018-01-09 浏览次数:

1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞和Spectre漏洞。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。

 一、漏洞情况分析

 现代的计算机处理器芯片通常使用“预测执行”(Speculative Execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露,根据获取到的数据,可能会导致用户的数据隐私泄露、登陆凭证被攻击者窃取。

Meltdown漏洞利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。Spectre漏洞利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(Error-Free)来获取敏感信息。

 具体的漏洞攻击场景:

1)单台物理主机:低权限的攻击者利用漏洞,可访问本地操作系统的内核空间,进一步实现提权或命令执行等操作。

2)云服务虚拟机:攻击者利用漏洞可以绕过虚拟机的隔离防护机制,访问其他租户的内存数据,导致其他云租户的敏感信息泄漏。

3)网页浏览器:利用浏览器的即时编译器(Just-In-Time Compiler)特性,执行恶意代码,读取浏览器内存数据,导致用户账号、密码、邮箱、cookie等信息泄漏。

目前该漏洞的本地利用代码(POC)已经发布并验证成功,但能够远程利用的执行代码尚未发布。

 

二、漏洞影响范围

该漏洞存在于英特尔(Intel)x86及x64的硬件中,在1995年以后生产的Intel、AMD、ARM处理器芯片受此漏洞影响,具体受影响的型号列表请参考厂商公告。

1)Intel:https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

2)AMD:https://www.amd.com/en/corporate/speculative-execution

3)ARM:https://developer.arm.com/support/security-update

同时使用这些处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算设施(亚马逊、微软、谷歌、腾讯云、阿里云等)也受此漏洞影响。

 

三、处置措施

目前,操作系统厂商通过在其产品内核引入内核页面隔离(KPTI)技术来修复Meltdown和Spectre漏洞。建议用户密切关注操作系统、虚拟机、浏览器等产品官方网站发布的安全公告,并及时下载补丁进行更新。

微软:已为windows 10已供修复包,并对windows 7和windows 8进行在线更新苹果:IOS 11.2和macOS10.13.2及tvOS 11.2中加入了保护措施;RedHat:已发布补丁Vmware:发布安全公告及补丁

 

Windows漏洞验证方法
       通过使用微软公司发布的检测PowerShell脚本(https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in),可以判断Windows系统是否受漏洞影响。检测方法如下:

1)安装相应的PowerShell模块,执行命令:PS> Install-Module SpeculationControl

2)下载并调用相应脚本(https://spectreattack.com/),对应命令:PS> Get-SpeculationControlSettings其中,开启的保护会显示为True,未开启的保护则会显示为False。