官方發(fā)布CPU熔斷和幽靈漏洞防范指引：附補丁下載

　　1月16日，全國信息安全標準化技術(shù)委員，針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞，組織相關(guān)廠(chǎng)商和安全專(zhuān)家，編制發(fā)布了《網(wǎng)絡(luò )安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引》。

　　據介紹，熔斷漏洞利用CPU亂序執行技術(shù)的設計缺陷，破壞了內存隔離機制，使惡意程序可越權訪(fǎng)問(wèn)操作系統內存數據，造成敏感信息泄露。

　　而幽靈漏洞利用了CPU推測執行技術(shù)的設計缺陷，破壞了不同應用程序間的邏輯隔離，使惡意應用程序可能獲取其它應用程序的私有數據，造成敏感信息泄露。

　　熔斷漏洞設計幾乎所有的Intel CPU和部分ARM CPU;幽靈漏洞設計所有的Intel CPU、AMD CPU，以及部分ARM CPU。

　　本次披露的漏洞屬于芯片級漏洞，來(lái)源于硬件，需要從CPU架構和指令執行機理層面進(jìn)行修復。主要影響和風(fēng)險包括竊取內存數據、造成敏感信息泄漏等。目前尚未發(fā)現利用上述漏洞針對個(gè)人用戶(hù)的直接攻擊。

　　據了解，該《防范指引》給受漏洞威脅的四類(lèi)典型用戶(hù)，包括云服務(wù)提供商、服務(wù)器用戶(hù)、云租戶(hù)、個(gè)人用戶(hù)等，給出了詳細的防范指引，并提供了部分廠(chǎng)商安全公告和補丁鏈接。

　　《防范指引》指出，云服務(wù)提供商和服務(wù)器用戶(hù)應在參考CPU廠(chǎng)商和操作系統廠(chǎng)商建議的基礎上，結合自身環(huán)境制定升級方案，綜合考慮安全風(fēng)險、性能損耗等因素，采取相關(guān)安全措施防范安全風(fēng)險;

　　云租戶(hù)和個(gè)人用戶(hù)應及時(shí)關(guān)注云服務(wù)提供商、操作系統廠(chǎng)商、瀏覽器廠(chǎng)商等提供的安全補丁，及時(shí)升級，避免受到漏洞的影響。