官方發(fā)布CPU熔斷和幽靈漏洞防范指引：附補(bǔ)丁下載

　　1月16日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員，針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞，組織相關(guān)廠商和安全專家，編制發(fā)布了《網(wǎng)絡(luò)安全實踐指南—CPU熔斷和幽靈漏洞防范指引》。

　　據(jù)介紹，熔斷漏洞利用CPU亂序執(zhí)行技術(shù)的設(shè)計缺陷，破壞了內(nèi)存隔離機(jī)制，使惡意程序可越權(quán)訪問操作系統(tǒng)內(nèi)存數(shù)據(jù)，造成敏感信息泄露。

　　而幽靈漏洞利用了CPU推測執(zhí)行技術(shù)的設(shè)計缺陷，破壞了不同應(yīng)用程序間的邏輯隔離，使惡意應(yīng)用程序可能獲取其它應(yīng)用程序的私有數(shù)據(jù)，造成敏感信息泄露。

　　熔斷漏洞設(shè)計幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設(shè)計所有的Intel CPU、AMD CPU，以及部分ARM CPU。

　　本次披露的漏洞屬于芯片級漏洞，來源于硬件，需要從CPU架構(gòu)和指令執(zhí)行機(jī)理層面進(jìn)行修復(fù)。主要影響和風(fēng)險包括竊取內(nèi)存數(shù)據(jù)、造成敏感信息泄漏等。目前尚未發(fā)現(xiàn)利用上述漏洞針對個人用戶的直接攻擊。

　　據(jù)了解，該《防范指引》給受漏洞威脅的四類典型用戶，包括云服務(wù)提供商、服務(wù)器用戶、云租戶、個人用戶等，給出了詳細(xì)的防范指引，并提供了部分廠商安全公告和補(bǔ)丁鏈接。

　　《防范指引》指出，云服務(wù)提供商和服務(wù)器用戶應(yīng)在參考CPU廠商和操作系統(tǒng)廠商建議的基礎(chǔ)上，結(jié)合自身環(huán)境制定升級方案，綜合考慮安全風(fēng)險、性能損耗等因素，采取相關(guān)安全措施防范安全風(fēng)險;

　　云租戶和個人用戶應(yīng)及時關(guān)注云服務(wù)提供商、操作系統(tǒng)廠商、瀏覽器廠商等提供的安全補(bǔ)丁，及時升級，避免受到漏洞的影響。