Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞,发布了A级漏洞风险通告,并提醒该漏洞演化为针对云和信息基础设施的A级网络安全灾难。相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过CPU缓存读取系统内存数据。漏洞Meltdown(熔毁)因“融化”了硬件的安全边界而得名,漏洞Spectre(幽灵)因其手段的隐蔽性而得名。
漏洞介绍
针对英特尔处理器涉及到两种攻击方法,分别为Meltdown和Spectre,Meltdown涉及CVE编号CVE-2017-5754,Spectre涉及CVE编号CVE-2017-5753和CVE-2017-5715。
Meltdown破坏了位于用户和操作系统之间的基本隔离,此攻击允许程序访问内存,因此其他程序以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。
Spectre是一个存在于分支预测实现中的硬件漏洞,含有预测执行功能的现代微处理器均受其影响,允许恶意进程访问其他程序在映射内存中的内容,是一类潜在漏洞的总和。它们都利用了一种现代微处理器为降低内存延迟、加快执行速度的常用方法“预测执行”的副作用。具体而言,Spectre着重于分支预测,这是预测执行的一部分。与同时披露的相关漏洞“熔毁”不同,Spectre不依赖单个处理器上内存管理及系统保护的特定功能,而是一个更为通用的漏洞。
影响范围
本次安全事件影响到的范围很广,包括:
处理器芯片:英特尔为主、ARM、AMD,对其他处理器同样可能存在相关风险。
操作系统:Windows、Linux、macOS、Android
云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等
各种私有云基础设施。
桌面用户可能遭遇到结合该机理组合攻击。
漏洞危害
漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。
实际攻击场景中,攻击者在一定条件下可以做到:
- 泄露出本地操作系统底层运作信息,秘钥信息等;
- 通过获取泄露的信息,可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护;
- 云服务中,可能可以泄露到其它租户隐私信息;
- 通过浏览器泄露受害者的帐号,密码,内容,邮箱,cookie等用户隐私信息等等。。。
防御建议
Linux 系统(内核)
通过过增加 KPTI 防护到达隔离用户空间和内核空间,阻止攻击者在普通用户权限读取内核内存。
浏览器
考虑到浏览器作为一个常见的攻击面,恶意代码通过浏览器进入到用户个人机器可能性较高,所以对于对于该漏洞针对个人的主要防御还是在在浏览器层面上。参考一下不同浏览器的防御方式:
(1)Chrome浏览器防御方法
开启Chrome的”站点隔离”的可选功能,启用站点隔离后,可以被侧信道攻击的数据减少,因为Chrome在单独的进程中为每个打开的网站呈现内容。Chrome浏览器会在1月下旬的更新中提供对漏洞的修复。
(2)Firefox浏览器防御方法
升级浏览器至Firefox 57.0.4版本:https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
应对方案
在深度操作系统15.5的2018.1.24更新中,Linux Kernel 4.14.12修复了Meltdown这个安全漏洞。
在深度操作系统15.5的2018.1.22的深度商店更新中,Firefox浏览器更新到57.0.4版本,Chrome浏览器更新到63.0.3239.132,进行了Spectre的第一阶段修复。
更新到Chrome 63.0.3239.132-1版本后,请手动启用"Strict site isolation"
- 在地址栏输入chrome://flags,回车;
- 滚动页面,找到“Strict site isolation” 选项,点击“启用”按钮;
- 重启Chrome浏览器。
请各位尽快更新系统以获取漏洞修复补丁。
注:相关安全更新详情参考自
- https://security-tracker.debian.org/tracker/CVE-2017-5754
- https://security-tracker.debian.org/tracker/CVE-2017-5753
- https://security-tracker.debian.org/tracker/CVE-2017-5715
- https://meltdownattack.com/https://blog.linuxmint.com/?p=3496
- http://www.sohu.com/a/214810761_354899
- http://www.linuxidc.com/Linux/2018-01/150377.htm
- https://lwn.net/Articles/738975/
- http://www.freebuf.com/subject?hot=%E5%A4%84%E7%90%86%E5%99%A8%E5%BA%95%E5%B1%82%E6%BC%8F%E6%B4%9E%E4%B8%93%E9%A2%98
另外两个漏洞什么时候发放补丁???
需要等上游信息和全性能的测试。
Spectre漏洞都不敢打补丁,隔壁家的几个流行系统,打了补丁后,都崩掉了
感谢深度的及时更新。安全第一,用户至上。数据无价,技术为王。
更新以后开机无法启动
在启动高级选项中选择4.9.0进入系统。
怎么回退呀?升了vmware也升了,结果用不了了..
在启动高级选项中选择4.9.0进入系统。可以终端中卸载。
Chrome64 发布了 修复了Meltdown和Spectre两处CPU漏洞
已经更新了。
I have a problem with this update: Whe i downloaded this update, my network wireless card dosen´t detect any wireless network (Including my own router), i checked if the network card is shutdown but it is online, the next day i put my computer close to my router to use wire conexion and my wireless card pick up my network, it looks like this update has reduced my wireless detection range.
貌似安装了这两个更新后系统启动变慢了,在deepin logo处停留的时间明显加长了
听说会影响性能 你试试esc 看看提示
Hi - the site you refer to about the bug is incorrect.
However, the issues have been addressed with the kernel upgrade, where the paging systems tables have been moved.
Please always check the kernel update pages - on Github or direct, never consult a discussion forum on the net, they do not know and in this case does not understand how virtual memory is done in Linux. Some people are more interested in getting their own ideas air, regardless of them being correct or not. A very revealing question is asked in the discussion (about applicability on the SPARC servers) and the response expose the ignorance. As long as you upgrade the kernel, you are fine. The kernel is vulnerable during the initial of the boot, but so what, at that stage, there is just one kernel and just one thread in one process.