户县财经网

针对Intel CPU的新MDS攻击的修补程序状态

2019-05-15 17:19 来源:网络整理

这些漏洞称为微架构数据采样(MDS)攻击,允许威胁参与者检索正在英特尔CPU内处理的数据,即使是攻击者代码无法访问的进程也是如此。

针对Intel CPU的新MDS攻击的修补程序状态

今天已经披露了四次MDS攻击,其中Zombieload被认为是最危险的:

CVE-2018-12126 - 微架构存储缓冲区数据采样(MSBDS)[代号辐射]

CVE-2018-12127 - 微架构负载端口数据采样(MLPDS)

CVE-2018-12130 - 微架构填充缓冲区数据采样(MFBDS)[代号为Zombieload,或RIDL]

CVE-2018-11091 - 微架构数据采样不可缓存内存(MDSUM)

好消息是,英特尔有一年多的时间来修补此问题,该公司与各种操作系统和软件供应商合作,协调硬件和软件级别的补丁。必须同时安装硬件(英特尔CPU微码更新)和软件(操作系统安全更新)保护,才能完全缓解MDS攻击。如果补丁尚不可用,则禁用Intel CPU上的同时多线程(SMT)功能将显着降低所有MDS攻击的影响。

以下是当前可用于当今MDS攻击的所有修复程序的摘要,以及描述其他缓解技术的支持页面。

英特尔

在安全公告中,英特尔今天表示,它向设备和主板供应商发布了更新的英特尔微码更新。

什么时候这些微代码更新会在用户的计算机上结束,这是任何人的猜测。如果我们要从Meltdown和Spectre修补程序中学到任何东西,那么答案可能永远不会,微软最终将不得不介入并提供英特尔微码更新部分Windows Update流程,就像它最后一次为Meltdown和Spectre做的那样。年。

与此同时,英特尔发布了一份受影响的英特尔处理器列表,其中包含有关每种CPU型号的可用微码更新状态的详细信息。

微软

在Intel微代码更新到达用户的计算机之前,Microsoft已发布操作系统级更新以解决四个MDS漏洞。

根据Microsoft的MDS安全建议,操作系统更新可用于Windows和Windows Server,也可用于SQL Server数据库。

Azure客户端已受到保护,因为Microsoft已采取措施修补其云基础架构并减轻威胁。

苹果

今天发布的macOS Mojave 10.14.5已经部署了对MDS攻击的缓解措施。

“此更新可防止通过JavaScript或导航到Safari中的恶意网站来利用这些漏洞,”Apple表示。

该公司补充说,该修复没有“可衡量的性能影响”。

iOS设备使用未知的CPU容易受到MDS的攻击,因此目前它们不需要特殊的缓解措施。

LINUX的

碎片化的Linux生态系统接收补丁的速度很慢。在撰写本文时,只有Red Hat和Ubuntu在他们的发行版中宣布修复。

谷歌

谷歌今天发布了一个帮助页面,其中列出了每种产品的状态以及它如何受到当今MDS攻击的影响。

根据此页面,Google的云基础架构已经获得了所有适当的保护,类似于Azure。某些Google Cloud Platform客户可能需要查看某些设置,但G Suite和Google Apps客户无需执行任何操作。

Chrome操作系统已停用Chrome OS 74及后续版本的超线程功能。谷歌表示,这可以防止MDS攻击。

Android用户不受影响。谷歌表示,操作系统级别的缓解措施应能保护Chrome浏览器用户。

亚马逊

就像谷歌和微软一样,亚马逊表示已经代表其用户修补并应用缓解措施到其云服务器。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
    相关阅读

热门推荐

配资技巧

平台推荐

股市资讯