當前位置:
首頁 > 科技 > 英特爾MDS漏洞後續 蘋果、微軟、亞馬遜等12家廠商通知都在這!

英特爾MDS漏洞後續 蘋果、微軟、亞馬遜等12家廠商通知都在這!

這兩日,英特爾晶元又出事了。來自多所大學和安全公司的研究人員,他們發現英特爾CPU中存在投機執行側通道漏洞,該漏洞被稱為微架構數據採樣——MDS攻擊。與之前發現的「幽靈」和「熔毀」漏洞不同,MDS漏洞更危險。

目前,英特爾已經發布微碼(MCU)更新,通過在CPU跨越安全邊界時清除緩衝區中的所有數據,來修復硬體和軟體中的MDS漏洞。

同時,包括亞馬遜、蘋果、微軟、聯想等均發布通知、補丁或更新:

亞馬遜AWS

亞馬遜發布了一份公告,稱已經為它們的EC2主機硬體部署了緩解措施,並為亞馬遜Linux AMI提供了更新的內核和微代碼包。

「AWS已經設計並實施了可以防範這些類型的錯誤基礎設施,並為MDS部署了額外的保護措施。所有EC2主機基礎架構都已經使用這些新的保護措施進行了更新,基礎架構層面無需客戶採取行動。

Amazon Linux AMI 2018.03和Amazon Linux 2的更新內核和微代碼軟體包可在相應的存儲庫(ALAS-2019-1205)中找到。作為一般安全性最佳實踐,我們建議客戶修補其操作系統或軟體,因為相關補丁可用於解決新出現的問題。」

蘋果

蘋果公司發布了兩個與新MDS漏洞相關的建議。

第一個建議指出,已經為macOS Mojave 10.14.5發布了安全更新,以防止對Intel CPU的推測性執行攻擊。

蘋果公司此前發布安全更新,來防範一系列影響基於ARM和Intel CPU的設備的推測性執行漏洞。英特爾公布了其他Spectre漏洞,稱為微架構數據採樣(MDS),適用於採用Intel CPU的台式機和筆記本電腦,包括所有現代Mac電腦。

不幸的是,由於缺少更新的Intel微代碼,有許多Mac型號不支持這些修復。用戶可以在諮詢中找到不受支持 的模型列表。

第二個建議解釋了用戶如何為macOS Mojave、High Sierra和Sierra的微架構數據採樣(MDS)漏洞啟用完全緩解措施。但是,按照這些步驟,你將需要禁用超線程,從而讓性能降低多達40%。

完全緩解(包括禁用超線程)可防止跨線程的信息泄漏以及內核和用戶空間之間的轉換,這與本地和遠程(Web)攻擊的MDS漏洞相關。

蘋果於2019年5月進行的測試顯示,包括多線程工作負載和公共基準測試在內的測試性能降低了40%。性能測試使用特定的Mac計算機進行。實際結果將根據型號、配置、使用情況和其他因素而有所不同。

Citrix思傑

Citrix發布了一份建議,聲明用戶需要為其處理器安裝最新的微碼,安裝正在使用的Citrix軟體更新,並禁用超線程以完全修復這些漏洞。

對於具有易受攻擊的CPU系統,完全緩解這些問題需要以下所有方法:

1.Citrix Hypervisor的更新

2.更新CPU微碼

3.禁用CPU超線程(也稱為同時多線程)

Chromium

Chromium開發團隊發布了一份諮詢報告,稱他們調查是否可以在瀏覽器中引入MDS漏洞緩解,但決定用戶應該依賴操作系統安全更新。

「Chromium團隊調查了Chrome可以獨立於操作系統採取各種緩解措施,但沒有一個是足夠完整或高效的。用戶應該在操作系統層級採取措施,緩解狀況。」

谷歌

Google還發布了一份通報,提供有關這些漏洞影響Google服務或平台的信息。

以下是他們對一些更常用服務的回應:

Google基礎架構:「運行Google產品(例如,搜索、YouTube、Google廣告產品、地圖、Blogger和其他服務)以及存儲客戶數據的基礎架構可以抵禦已知攻擊。」

Android:「絕大多數Android設備都不受影響,因為這些問題僅限於某些基於Intel的系統。」對於使用英特爾基礎架構的設備,您應該諮詢該通報。」

谷歌Chrome OS(Chromebook等):「谷歌默認在Chrome OS 74及更高版本上禁用了超線程。Chrome OS 75將包含額外的緩解措施。」

Google Apps / G Suite:請參閱有關其每項服務的各種信息的建議。

用戶可以在他們的諮詢中找到他們的服務和緩解狀況的完整列表。

英特爾

英特爾發布了一份公告,解釋這些漏洞如何工作,可以使用的緩解措施以及這些緩解措施對性能的影響,特別是通過禁用超線程。

聯想:

聯想已經發布了ThinkPad P1和ThinkPad X1 Extreme筆記本電腦的BIOS更新。

根據更改日誌,解決了以下漏洞:

[重要更新]

增強解決安全漏洞CVE-2018-12126,

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12126)

預計將於05/14/2019發布。

增強解決安全漏洞CVE-2018-12127,

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12127)

預計將於05/14/2019發布。

增強解決安全漏洞CVE-2018-12130,

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12130)

預計將於05/14/2019發布。

微軟

微軟發布了兩條提供有關如何緩解這些漏洞的信息建議。Windows客戶端和伺服器都需要安裝最新的微代碼更新,Windows安全更新,並可能配置各種Windows註冊表項。

有關如何做的更多信息,請參閱以下建議:

ADV190013 | Microsoft指導減輕微架構數據採樣漏洞

Windows指導,以防止投機執行側通道漏洞

遺憾的是,微代碼更新不適用於以下Windows版本,包括Windows 10版本1809,並將在以後發布:

適用於基於x64的系統的Windows 10版本1803

Windows Server,版本1803(伺服器核心安裝)

適用於基於x64的系統的Windows 10版本1809

Windows Server 2019

Windows Server 2019(伺服器核心安裝)

正如其他供應商所說,「為了得到充分保護,客戶可能還需要禁用超線程(也稱為同時多線程(SMT))」

紅帽Redhat

紅帽發布了一份建議,聲明必須為您的CPU安裝最新的微代碼,升級固件並升級內核。必須再次禁用超線程以完全修復漏洞。

「應用補丁的順序並不重要,但在更新固件和虛擬機管理程序後,每個系統/虛擬機都需要關機並重新啟動以識別新的硬體類型。」

SUSE

SUSE發布了一條公告,但它沒有太多信息。

Ubuntu

Ubuntu發布了一份通報,解釋用戶必須安裝微代碼更新和更新的內核才能緩解這些漏洞。但是,即使安裝了這些漏洞,解決這些漏洞的唯一真正方法是禁用超線程。

「如果系統用於執行不受信任或潛在的惡意代碼,Ubuntu建議在受影響的系統上禁用超線程。」

VMWare

VMWare發布了一份包含其產品已知更新的通報。

「vCenter Server、ESXi、工作站和Fusion更新包括針對MDS漏洞的特定管理程序的緩解措施。VMware已將這些問題的嚴重性評估為處於中等嚴重性範圍內,最大CVSSv3基本得分為6.5。」

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 天極數碼 的精彩文章:

工程師時代的李彥宏什麼等級?看看他寫的這三篇影響互聯網17年的博客就知道了
優質的Facebook廣告代理幫你實現海外精準營銷

TAG:天極數碼 |