近日,谷歌Project Zero安全团队公布了两组CPU特性漏洞,分别命名为Meltdown和Spectre。Meldown漏洞影响几乎所有的Intel CPU和部分的ARM CPU,而Spectre漏洞则影响所有的Intel CPU和AMD CPU及部分主流的ARM CPU。几乎所有的个人电脑、独立式服务器、云计算务器、各类智能手机、IoT设备、其他智能终端设备等都受到影响。漏洞是对内存隔离机制的突破,可导致跨权限信息泄漏。对于普通网民,个人电脑、智能手机、智能终端设备的CPU都存在这种漏洞,通过浏览器访问恶意网站,可导致受害者的账号、密码、邮箱、cookie等信息泄漏,支付宝、银行账号、密码、照片都存在被暴露的危险。对于独立式服务器,进程可能访问到其他进程的内存空间,低权限用户可能访问到本地操作系统底层的信息,内核空间;对于云计算服务器,通过漏洞访问其他租户的内存数据,导致其他云租户的敏感信息泄漏。
目前这两个漏洞只在实验室中有成功的攻击模拟,未在真实世界中发现攻击案例,必须在一些特定条件下漏洞才有可能被利用,因此网络用户不必惊慌,但其潜在危害程度高,在确保安全的前提下宜及时堵塞漏洞。普通网民需保持系统更新、浏览器更新、病毒库更新,尽量避免浏览不信任的网站,谨慎点击网友发送的网页链接。独立式服务器管理员需检查操作系统是否存在可疑用户,检查应用系统是否存在SQL注入漏洞;租用云服务器的管理员需与云服务提供商确认是否对漏洞采取防护措施。服务器管理员保持操作系统更新,但漏洞修复补丁可能导致CPU性能下降,在打补丁前应做好评估。
以下链接提供了目前主流操作系统补丁、虚拟化平台补丁、漏洞监测工具等下载的链接:
http://t.cn/RHFPt9D