双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于CPU處理器內(nèi)核存在Meltdown和Spectre漏洞的安全公告

2018-01-04 19:32:23

安全公告編號:CNTA-2018-0001

1月4日,國家信息安全漏洞共享平臺(CNVD)收錄了CPU處理器內(nèi)核的Meltdown漏洞(CNVD-2018-00303,對應(yīng)CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,對應(yīng)CVE-2017-5715和CVE-2017-5753)。利用上述漏洞,攻擊者可以繞過內(nèi)存訪問的安全隔離機制,使用惡意程序來獲取操作系統(tǒng)和其他程序的被保護數(shù)據(jù),造成內(nèi)存敏感信息泄露。目前漏洞的利用細節(jié)尚未公布。

一、漏洞情況分析

現(xiàn)代的計算機處理器芯片通常使用“推測執(zhí)行”(speculative execution)和“分支預(yù)測”(Indirect Branch Prediction)技術(shù)實現(xiàn)對處理器計算資源的最大化利用。但由于這兩種技術(shù)在實現(xiàn)上存在安全缺陷,無法通過正確判斷將低權(quán)限的應(yīng)用程序訪存與內(nèi)核高權(quán)限的訪問分開,使得攻擊者可以繞過內(nèi)存訪問的安全隔離邊界,在內(nèi)核中讀取操作系統(tǒng)和其他程序的內(nèi)存數(shù)據(jù),造成敏感信息泄露。具體如下:

1)Meltdown漏洞的利用破壞了用戶程序和操作系統(tǒng)之間的基本隔離,允許攻擊者未授權(quán)訪問其他程序和操作系統(tǒng)的內(nèi)存,獲取其他程序和操作系統(tǒng)的敏感信息。

2)Spectre漏洞的利用破壞了不同應(yīng)用程序之間的安全隔離,允許攻擊者借助于無錯程序(error-free)來獲取敏感信息。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

該漏洞存在于英特爾(Intel)x86-64的硬件中,在1995年以后生產(chǎn)的Intel處理器芯片都可能受到影響。同時AMD、Qualcomm、ARM處理器也受到影響。

同時使用上述處理器芯片的操作系統(tǒng)(Windows、Linux、Mac OS、Android)和云計算平臺也受此漏洞影響。

三、處置措施

目前,操作系統(tǒng)廠商已經(jīng)發(fā)布補丁更新,如Linux, Apple和Android,微軟也已發(fā)布補丁更新。CNVD建議用戶及時下載補丁進行更新,參考鏈接:

Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android:https://source.android.com/security/bulletin/2018-01-01

Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM:https://developer.arm.com/support/security-update

Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution

Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Xen:https://xenbits.xen.org/xsa/advisory-254.html

附:參考鏈接:

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/