首页

【操作系统安全漏洞 】Intel处理器MeltDown/Spectre变种漏洞导致信息泄露

标签:操作系统安全,漏洞,硬件,信息泄露,Intel处理器,MeltDown/Spectre变种     发布时间:2018-05-30   

一、漏洞描述

    北京时间2018年05月22日,Intel处理器芯片爆出新的MeltDown/Spectre变种漏洞,这些硬件处理器漏洞可能通过侧信道攻击的方式,导致未经授权的一些敏感数据泄露。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

    漏洞编号CVE-2018-3639(中危):作为基于数据消歧功能进行推测执行的Spectre变种,主要影响为应用层沙箱设计软件,比如javascript等语言层隔离运行环境。恶意软件有可能通过侧信道攻击,突破沙箱或语言运行环境隔离,导致一些敏感信息泄露。SGX环境内的软件沙箱设计也会受该漏洞影响。

    漏洞编号CVE-2018-3640(中危):该漏洞是MeltDown漏洞的一种变体,允许恶意攻击者通过侧信道攻击方式,越权访问MSR中的敏感信息。该漏洞对于云平台本身及用户操作系统也有一定影响,可能泄露保存在MSR中的地址信息,突破地址随机化保护,但影响有限,且不影响用户虚拟机本身数据。

二、影响风险

该漏洞存在于英特尔(Intel)x86-64的硬件中,存在通过侧信道攻击,导致信息泄露风险,漏洞利用难度大,影响有限。

三、情报来源

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html

https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/

<<热门下载>>