针对较近曝出的两大芯片漏洞,近日,全国信息安全标准化技术委员会(简称“信安标委”)发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》(简称《防范指引》)。
较近有研究人员在英特尔芯片中发现两个关键漏洞,称攻击者可以利用漏洞从APP运行内存中窃取数据,引发了广泛关注和担忧。随后英特尔承认这些漏洞存在,但并非是英特尔芯片独有的缺陷。
信安标委指出:
CPU熔断(Meltdown)和幽灵(Spectre)漏洞影响范围覆盖主流CPU。其中,熔断漏洞涉及几乎所有的英特尔CPU和部分ARM CPU;幽灵漏洞涉及所有的英特尔CPU、AMD CPU,以及部分ARM CPU。
这两大芯片级漏洞,主要影响和风险包括窃取内存数据、造成敏感信息泄露等。信安标委指出,上述漏洞只能读取数据,不能修改数据,远程利用难度较大,尚未监测到利用上述漏洞的真实攻击案例。
《防范指引》
该《防范指引》就受熔断和幽灵漏洞威胁的四类典型用户,包括云服务提供商、服务器用户、云租户、个人用户等,给出了详细的防范指引,并提供了部分厂商安全公告和补丁链接。
其中,针对个人用户,《防范指引》指出:
尽管上述漏洞影响极为广泛,但利用条件较为苛刻,攻击成功率低。建议关注各操作系统厂商、浏览器厂商、整机厂商等的安全公告,采用系统自带的系统升级工具或第三方提供的漏洞管理工具下载和安装补丁,从而避免漏洞的影响。同时,个人用户应安装并及时更新防病毒软件,并养成良好上网习惯,不轻易浏览不信任的网站,不轻易点击来源不明的网页链接,提高安全防范意识。
