近日，一個(gè)影響范圍廣泛、基于處理器芯片的安全漏洞被披露，引起各方關(guān)注。

起因

2017年Google Project Zero安全團隊發(fā)現了由Intel CPU架構設計缺陷引發(fā)的兩個(gè)漏洞，一個(gè)稱(chēng)為“Meltdown（熔斷，對應漏洞CVE-2017-5754）”，另一個(gè)被稱(chēng)為“Spectre（幽靈，對應漏洞CVE-2017-5753/CVE-2017-5715）”。

受影響的處理器

這些漏洞可以影響到Intel近10年發(fā)布的x86處理器。

ARM在其官網(wǎng)上列出了漏洞影響的處理器，包括：CrotexR7、R8、A8、A9、A15、A17、A53、A57、A72、A73和A75。

AMD的x86處理器架構設計上與Intel有所不同，所以只有“Spectre”漏洞對AMD處理器有輕微影響。

由于這個(gè)漏洞是架構上的缺陷，因此，無(wú)論你使用什么樣的系統（Windows、IOS、Android）、什么樣的設備（電腦、手機、服務(wù)器）都可能受到影響。

漏洞危害

在Intel以及其他現代化處理器都有用到推測執行，這類(lèi)指令有很高的訪(fǎng)問(wèn)權限，可以訪(fǎng)問(wèn)到不應該或不允許訪(fǎng)問(wèn)的內核，“Meltdown”和“Spectre”便是利用該這些指令去執行一些惡意操作。

Meltdown漏洞直接打破核心內存保護機制，允許惡意代碼直接訪(fǎng)問(wèn)敏感內容。

Spectre則通過(guò)篡改其他應用程序的內存，欺騙他們去訪(fǎng)問(wèn)核心內存地址。

雖然漏洞影響范圍極廣，截至目前，也沒(méi)有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現。

漏洞修復進(jìn)展

Intel:

Intel表示會(huì )聯(lián)合其他廠(chǎng)商對過(guò)去5年內發(fā)布的90%產(chǎn)品進(jìn)行補丁更新，并強調合作伙伴測試表明了修復漏洞后對性能不會(huì )有太大影響，對普通用戶(hù)的影響甚至可以忽略不計。

AMD：

AMD官方表示“Spectre”可以通過(guò)軟件和操作系統補丁進(jìn)行修復，幾乎不會(huì )對心梗造成影響，并因為架構設計不同，“Meltdown”不會(huì )對AMD處理器造成任何影響。

操作系統廠(chǎng)商：

Windows、Linux和MacOS操作系統均為“Meltdown”推出相應的系統安全更新，網(wǎng)頁(yè)瀏覽器也已經(jīng)有相應的新版本升級。

華云已和Intel取得聯(lián)系，正在積極開(kāi)展修復方案驗證。修復方案確認穩定可行后，華云會(huì )第一時(shí)間安排云計算基礎平臺的升級，修復處理器安全漏洞，升級過(guò)程可能需要部分用戶(hù)配合實(shí)施重啟操作。請保持通訊（電子郵件、手機）暢通，我們會(huì )提前和您確認合適的升級時(shí)間。

普通用戶(hù)可以怎么做？

1、升級網(wǎng)頁(yè)瀏覽器到最新版本

現在惡意攻擊主要都是通過(guò)聯(lián)網(wǎng)進(jìn)行，所以網(wǎng)頁(yè)瀏覽器是一道不可忽視的防線(xiàn)，微軟已經(jīng)放出了新版Edge和IE瀏覽器封堵漏洞，Google、蘋(píng)果將在之后的Chrome64和Safari提供安全補丁，用戶(hù)注意升級即可。

2、升級操作系統最新安全補丁

微軟已于近日為Windows10推送了安全補丁更新（KB4056890、Version1709），而蘋(píng)果早在去年十二月的iOS11.2和macOS 10.13.2上針對“Meltdown”做了緩解措施，用戶(hù)可以檢查自己PC和手機上系統版本是否為最新版。

3、升級設備固件

大家可以根據自己筆記本電腦臺式機主板的型號到廠(chǎng)商官方網(wǎng)站進(jìn)行查詢(xún)支持信息信息是否有新版固件、BIOS升級。

這些漏洞未來(lái)一段時(shí)間內仍然是各界關(guān)注的重點(diǎn)，華云數據將對漏洞動(dòng)態(tài)保持持續關(guān)注，從而為廣大用戶(hù)提供更加準確的參考信息，以及更加可靠的解決方案。