Intel處理器漏洞Meltdown(熔毀)和Spectre(幽靈)應急處置建議

一、漏洞描述：

近日，一種新型的側信道攻擊會影響包括Intel，AMD和ARM在內的大多數處理器，該攻擊允許惡意用戶進程讀取內核內存，從而可能導致內核敏感信息泄露。並且影響Windows, MacOS, Linux。這些漏洞被稱為Meltdown（熔毀）和Spectre（幽靈）。

由於涉及硬體，該漏洞無法通過晶元的微碼（microcode）更新進行修復，需要通過內核級別的修復來解決，並且據研究表明，修復該漏洞會犧牲5%-30%的性能，此次漏洞事件共包含Meltdown和Spectre兩個安全問題，部分利用代碼已經公開。

二、漏洞CVE編號：

幽靈攻擊：

CVE-2017-5753

CVE-2017-5715

熔毀攻擊：

CVE-2017-5754

三、受影響的範圍：

Intel，AMD和ARM在內的大多數處理器，其他如圖形處理GPU、網路處理NPU等專用晶元不受影響

四、廠商處置：

1月3日晚，微軟發布了針對Meltdown和Specter的系統安全更新，請用戶開啟系統更新功能及時打全最新的安全補丁。

系統版本

KB號

Windows Server, version 1709 (Server Core Installation)

4056892

Windows Server 2016

4056890

Windows Server 2012 R2

4056898

Windows Server 2012

暫不可用

Windows Server 2008 R2

4056897

Windows Server 2008

暫不可用

Windows 8

4056897（1月9日發布）

Windows 7

4056898（1月9日發布）

蘋果公司發布公告已經對部分系統進行了升級，相關產品及最新版本信息如下：

產品名稱

更新版本

iOS

11.2

macOS

10.13.2

tvOS

11.2

Apple Watch

不受影響

Safari

暫未發布更新

根據官方的公告，RedHat、SUSE、Ubuntu等Linux操作系統暫時沒有發布更新。

該漏洞存在於CPU硬體中，無法通過固件來修復，目前各廠商都在致力於各自產品的修復，請相關用戶及時關注官方的升級通告。

以下是部分廠商的通告鏈接：

由於攻擊者可通過瀏覽器嵌入JavaScript腳本，利用此漏洞進行攻擊，相關瀏覽器廠商也提供了升級版本，如下表：

瀏覽器名稱

更新版本

FireFox

57

Chrome

64（將於1月23日更新）

Safari

暫未發布更新

Internet Explorer 11

KB4056890等

Microsoft Edge

KB4056890等

五、漏洞驗證：

驗證一：重大處理器漏洞Meltdown(熔毀)

測試環境：centos 7

Poc url：https://github.com/paboldin/meltdown-exploit

測試步驟：

# git clone https://github.com/paboldin/meltdown-exploit.git

# cd meltdown-exploit/

# make

# ./run.sh

測試截圖

如上圖，已讀取到內存中的versions，熔毀漏洞存在！

驗證二：重大處理器漏洞Spectre(幽靈)

測試環境：centos 7

Poc url：https://www.exploit-db.com/exploits/43427/

測試步驟：

將下載下來的43427.c上傳到雲主機

# vim 43427.c #將118行的『？』修改成英文的單引號 ?，否則執行報錯

# gcc 43427.c -o 43427 -std=c99

# ./43427

測試截圖

如上圖，已讀取c文件中的secret，幽靈漏洞存在！

推薦閱讀：