Intel CPU微架构数据采样(MDS)缝隙

颁布功夫 2019-05-15

布景描述

5月14日Intel披露其CPU芯片中的微架构数据采样(MDS)缝隙，这组缝隙是先前披露的揣摩执行侧通路缝隙的子类，由四种有关技术组成。该缝隙影响了2011年来的险些所有Intel CPU。Intel已向设备和主板厂商颁布了用于建复缝隙的CPU微码更新。

缝隙列表

CVE ID ： CVE-2018-12126
缝隙等级：中危
缝霞称：微架构存储缓冲区数据采样（MSBDS），也被称为Fallout攻击
CVSS评分： 6.5

CVE ID ： CVE-2018-12127
缝隙等级：中危
缝霞称：微架构负载端口数据采样（MLPDS），也被称为Zombieload或RIDL攻击
CVSS评分： 6.5

CVE ID ： CVE-2018-12130
缝隙等级：中危
缝霞称：微架构填充缓冲区数据采样（MFBDS），RIDL类攻击
CVSS评分： 6.5

CVE ID ： CVE-2019-11091
缝隙等级：低危
缝霞称：微架构不成缓存内存数据采样（MDSUM），RIDL类攻击
CVSS评分： 3.8

缝隙详情

通过利用Intel CPU微架构中的揣摩执行操作，MDS攻击可允许攻击者接见其它法式在CPU中处置的数据。自2011年以来的Intel CPU险些都受影响，蕴含台式机、笔记本及服务器的处置器。Intel暗示其最新产品可从硬件层面解决这些问题，蕴含第8代和第9代Core处置器及第二代Xeon Scalable处置器。对于其他受影响的产品，可通过微代码更新获得缓解。

英特尔还暗示对大无数PC而言，缓解措施对机能影响不大，但对数据中心负载而言，机能可能存鄙人降。

ARM和AMD处置器似乎没有受到影响。

钻研人员在Github上颁布了有关PoC。链接为：https://github.com/IAIK/ZombieLoad

受影响产品的齐全列表可参考以下文件：
https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf

建复建议

微软
Microsoft已颁布操作系统级更新，以解决四个MDS缝隙。凭据Microsoft的MDS安全建议，操作系统更新可用于Windows和Windows Server，也可用于SQL Server数据库。Azure客户端已受到�；�，由于Microsoft已采取措施建补其云基础架构并减轻威胁。

Apple
苹果今天颁布的macOS Mojave 10.14.5已经部署了对MDS攻击的缓解措施。iOS设备不易受到MDS攻击，因而目前不必要特殊的缓解措施。

Linux
碎片化的LINUX生态系统颁布补丁的快率缓慢。在撰写本文时，只有Red Hat和Ubuntu颁布了建复补丁。

Google
谷歌今天颁布了一个援手页面，列出了每种产品的状态以及它若何受到DS攻击的影响。凭据此页面，谷歌的云基础架构已经获得了适当的�；�。某些Google Cloud Platform客户可能必要查看某些设置，但G Suite和Google Apps客户无需执行任何操作。Chrome操作系统已停用Chrome OS 74及后续版本的超线程职能。谷歌暗示，这能够预防MDS攻击。Android用户不受影响。谷歌暗示，操作系统级此外缓解措施应能�；hrome浏览器用户。

Amazon
类似于谷歌和微软，亚马逊暗示已经在云服务器上建补并利用缓解措施。

参考链接

https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
https://www.zdnet.com/article/intel-cpus-impacted-by-new-zombieload-side-channel-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Intel CPU微架构数据采样(MDS)缝隙

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线