Meltdown和Spectre缝隙安全公告及补丁大全

颁布功夫 2018-01-09

近日，Google的Project Zero团队颁发新闻称，他们发现了Meltdown（熔断，CVE-2017-5754）和Spectre（鬼魂，CVE-2017-5753/CVE-2017-5715）两个CPU级此外缝隙。有关缝隙利用了芯片硬件层面执行加快机造的设计缺点实现侧信路攻击，能够间接通过CPU缓存读取系统内存数据。这次被曝光的缝隙波及领域广，险些全球所有的推算设备都受影响，已经引起世界领域内的宽泛关注。固然当前尚未有利用这两个缝隙进行攻击的事务传递，GA黄金甲天镜缝隙钻研团队提醒宽大客户防患于未然，实时建补缝隙。

Meltdown缝隙影响险些所有的Intel CPU和部门ARM CPU，而Spectre则影响所有的Intel CPU和AMD CPU，以及主流的ARM CPU。两组缝隙影响的操作系统涵盖目前险些所有推算设备。蕴含Windows，Android，MacOS ，IOS，Linux（Red hat/Debian/Ubuntu/Suse）等。为了安全起见，市面上所有的服务器、幼我电脑、手机等都必要升级应对。但同时也要看到这个缝隙利用有肯定的门槛，即方便用成功，也只能让攻击者窃取敏感数据，不能提权和节造主机。鬼魂缝隙对多租户下的云服务系统影响比力大，攻击者在云平台通过本地的通常的接见权限就能够读取云平台的敏感信息，为进一步获得更高的权限和获得机密数据提供了可能。另表思考到升级了CPU和操作系统之后伴随的机能降落，分歧用户能够评估自己的情况来做出决定。建议幼我用户重要升级操作系统补丁及浏览器版本。

针对这两组缝隙，各家芯片厂商，操作系统厂商，浏览器厂商，以及云服务厂商，都积极采取措施，颁布安全布告，并实时推出缓解措施和建复补丁。鉴于此两组缝隙影响面巨大，查找各个厂商的安全公告和产品补丁下载地址相当繁琐，GA黄金甲天镜缝隙钻研团队特为您贴心整顿有关信息如下：

（网络信息截至到2018年1月8日，各厂商将持续推出安全更新和补丁信息，GA黄金甲天镜缝隙钻研团队会持续维持亲昵关注，持续更新本文档，宽大客户可从GA黄金甲官网获取www.venustech.com.cn）

硬件

1. Intel

Intel已经确认1995年以来出产的所有处置器芯片中存在有关问题，将提供软件和固件更新以解决这些缝隙。蕴含：
GA黄金甲·(中国区)官方网站

Intel的安全布告如下：

安全公告

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/

https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html

2. AR

ARM确认大部门处置器不受缝隙影响，但给出了一个受影响的处置器列表。

GA黄金甲·(中国区)官方网站

1)安全公告

https://developer.arm.com/support/security-update/download-the-whitepaper

https://developer.arm.com/support/security-update

2)补丁链接

针对linux上的法式，ARM提供了新编译器，可用新编译器沉新编译。另表颁布了Linux ARM内核补丁，用于建补缝隙：

https://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux.git/log/?h=kpti

3. AMD

安全公告

AMD针对每个缝隙做了回复，第一个缝隙由软件、操作系统厂商颁布补丁解决，机能影响极度轻微，其他两个缝隙由于AMD CPU特殊的架构，都不受影响。具体如下：

https://www.amd.com/en/corporate/speculative-execution

4. Nvidia

1)安全公告

Nvidia已经颁布了安全公告,推荐有关的驱动法式或软件包更新赐与领导。布告如下：

https://www.nvidia.com/en-us/product-security/

2)补丁链接

具体的补丁链接如下：

GA黄金甲·(中国区)官方网站

操作系统

1. Windows

1）安全公告

微软已经颁布了安全公告，建复了IE、Edge、Windows内核中有关问题。

微软安全公告：
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities

2）Windows受影响产品蕴含：

1. Windows 10
2. Windows 8
3. Windows 8.1
4. Windows 7
5. Windows Vista
6. Windows XP
7. Windows Server 2003
8. Windows Server 2008
9. Windows Server 2012
10. Windows Server 2012 R2

3）补丁链接

GA黄金甲·(中国区)官方网站

2. Linux

Linux内核开发者Thomas Gleixner在2017年12月在Linux内核邮件列表中就新的KAISER隔离补丁颁布了注明。目前有人疑惑这批补丁可能正是为相识决Linux系统傍边的Metldown与Spectre 缝隙。具体如下：

https://lkml.org/lkml/2017/12/4/709

3. RedHat

1）安全公告

红帽公司已经颁布一项建议，其中列出受到影响的产品及其当前状态。建议内容批注：对于在运行受影响版本产品的红帽客户，强烈建议用户尽快凭据领导清单进行更新。所有受影响产品都应装置建复补丁，借以缓解CVE-2017-5753 (变种1)与 CVE-2017-5754 (变种3)缝隙。CVE-2017-5715 (变种2)可通过本地以及虚构访客天堑两种方式被加以利用。具体如下：

https://access.redhat.com/security/vulnerabilities/speculativeexecution

2）补丁链接

GA黄金甲·(中国区)官方网站

4. SUSE

1）安全公告

SUSE就SLE 与 openSUSE应对Meltdown 和 Spectre CPU缝隙颁布申明，SUSE Enterprise Linux（SLE）和OpenSuSE（Leap and Tumbleweed）也受到这些严沉的硬件谬误的影响，这些谬误可能会使非特权的攻击者利用恶意利用法式从内核内存中窃取敏感数据。openSUSE Leap 42.2和openSUSE Leap 42.3用户即将收到与SUSE Linux Enterprise 12一样的内核更新。另一方面，openSUSE开发人员目前在将新补丁法式移植到openSUSE Tumbleweed回收站。

安全公告地址如下：

https://www.suse.com/support/kb/doc/?id=7022512

2）CVE-2017-5754补丁链接

https://www.suse.com/security/cve/CVE-2017-5754/

GA黄金甲·(中国区)官方网站

4）CVE-2017-5753补丁链接

https://www.suse.com/security/cve/CVE-2017-5753/

GA黄金甲·(中国区)官方网站

5）CVE-2017-5715补丁链接

https://www.suse.com/security/cve/CVE-2017-5715/

GA黄金甲·(中国区)官方网站

4. Ubuntu

1）安全公告

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

2）补丁打算

打算1月9日颁布内核补丁，版本号如下：
GA黄金甲·(中国区)官方网站

5. Fedora

安全更新

颁布了安全更新，蕴含对CVE-2017-5754 (Meltdown)的建补，CVE-2017-5753和CVE-2017-5715（Spectre）的补丁后续会推出：

https://bodhi.fedoraproject.org/updates/kernel-4.14.11-300.fc27

6. Debian

1）安全更新

颁布了安全更新，蕴含对CVE-2017-5754 (Meltdown)的建补，CVE-2017-5753和CVE-2017-5715（Spectre）的补丁后续会推出：：

https://www.debian.org/security/2018/dsa-4078

https://security-tracker.debian.org/tracker/CVE-2017-5754

2）补丁包

GA黄金甲·(中国区)官方网站

7. macOS/IOS

安全更新

苹果在12月6日颁布的 macOS 10.13.2以及为旧系统推出的安全更新，已蕴含“Meltdown”缝隙建补。1月8日苹果公司颁布iOS 11.2.2正式版更新，重要建复了 Safari 浏览器的 Spectre 安全缝隙（CVE-2017-5753 and CVE-2017-5715）：

8. VMware

1）安全公告

VMware已经颁布了安全公告,推荐有关的驱动法式或软件包更新赐与领导。布告如下：

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

2）补丁链接

具体的补丁情况如下：

GA黄金甲·(中国区)官方网站

9. Xen

安全公告

Xen已经颁布了安全公告,推荐有关的驱动法式或软件包更新赐与领导。布告如下：

https://xenbits.xen.org/xsa/advisory-254.html

10. Amonzon

安全公告

Amazon方面已经颁布一项安全布告，指出：此项安全缝隙宽泛存在于从前20年推出的英特尔、AMD以及ARM等各类现代处置器架构傍边，影响领域涵盖服务器、台式机以及移动设备。Amazon EC2系统中除极少数事俘表，其余皆受到严格�；�。渣滓部门的建复工作将在接下来数幼时内实现，并附有有关事俘守护通知。固然AWS所执行的更新可能切实�；さ撞慊∩枋�，但为了充分解决这次问题，客户还应对事俘中的操作系统进行建复。目前Amazon Linux更新已经起头颁布，具体如下：

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

11. ChromeOS

安全公告

https://support.google.com/faqs/answer/7622138#chromeos

12. 安卓

安全公告

Android团队于2018年1月更新了安全公告：CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754为已经得到公开披露的一系列与处置器内揣摩执行有关的缝隙。Android尚未发现任何在基于ARM的Android设备之上沉现上述缝隙以进行的未授权信息泄露行为。为了提供额表的�；ご胧�，本布告傍边蕴含的CVE-2017-13218更新削减了对高精度按时器的接见，旨在限度旁路攻击（例如CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754）所有已知变种对ARM处置器的影响。具体如下：

https://source.android.com/security/bulletin/2018-01-01

利用

1. IE/Edge

1）安全公告

微软安全公告：
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities

2）补丁链接

Internet Explorer 9-11补丁号kb4056568，

下载地址:

http://www.catalog.update.microsoft.com/search.aspx?q=kb4056568

3）Edge补丁下载地址:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

2. Mozilla

1）安全公告

Firefox 57.0.4建改版本建复了驰名的两个英特尔CPU缝隙带来的安全性问题，推荐所有57版本用户实时升级。布告如下：
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

2）补丁链接

补丁下载地址：

https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/

3. Safari

安全更新

1月8日苹果公司颁布iOS 11.2.2正式版更新，重要建复了 Safari 浏览器的 Spectre 安全缝隙（CVE-2017-5753 and CVE-2017-5715），如需相识更新的安全性内容，请接见此网站：

https://support.apple.com/zh-cn/HT201222

4. SQLserver

1）安全公告
微软安全公告：
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities

2）补丁链接：

SQL Server 2016 SP1补丁下载地址：

https://www.microsoft.com/en-us/download/details.aspx?id=54613

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

Meltdown和Spectre缝隙安全公告及补丁大全

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线