全部产品

【漏洞公告】Intel处理器MeltDown/Spectre变种漏洞导致信息泄露

更新时间:2018-05-22 08:09:53

公告内容:

北京时间2018年05月22日,Intel处理器芯片爆出新的MeltDown/Spectre变种漏洞,这些硬件处理器漏洞可能通过侧信道攻击的方式,导致未经授权的一些敏感数据泄露。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

具体详情如下:

漏洞编号:

CVE-2018-3639

CVE-2018-3640

漏洞名称:

Intel处理器芯片MeltDown/Spectre变种漏洞

官方评级:

CVE-2018-3639:中危

CVE-2018-3640:中危

漏洞描述:

CVE-2018-3639:作为基于数据消歧功能进行推测执行的Spectre变种,主要影响为应用层沙箱设计软件,比如javascript等语言层隔离运行环境。恶意软件有可能通过侧信道攻击,突破沙箱或语言运行环境隔离,导致一些敏感信息泄露。SGX环境内的软件沙箱设计也会受该漏洞影响。

CVE-2018-3640:该漏洞是MeltDown漏洞的一种变体,允许恶意攻击者通过侧信道攻击方式,越权访问MSR中的敏感信息。该漏洞对于云平台本身及用户操作系统也有一定影响,可能泄露保存在MSR中的地址信息,突破地址随机化保护,但影响有限,且不影响用户虚拟机本身数据。

漏洞影响范围:

该漏洞存在于英特尔(Intel)x86-64的硬件中

漏洞风险:

存在通过侧信道攻击,导致信息泄露风险,漏洞利用难度大,影响有限。

情报来源:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html

https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/