国家工业信息安全发展研究中心发布关于“熔断”和“幽灵”网络安全高危漏洞的风险通报

  点击数:553  发布时间:2018-01-16 22:18
2018年1月3日,美国谷歌(Google)公司安全团队Project Zero披露了2组、共3个高危漏洞,分别是“熔断” (Meltdown,漏洞编号为CVE-2017-5754)和“幽灵”(Spectre,漏洞编号为 CVE-2017-5753、CVE-2017-5715),该漏洞影响英特尔(Intel)、美国超微半导体公司(AMD)等厂商生产的主流中央处理器(CPU)并导致用户敏感信息泄露。
关键词:Spectre ,幽灵 ,Meltdown ,熔断 ,工业信息安全

2018年1月3日,美国谷歌(Google)公司安全团队Project Zero披露了2组、共3个高危漏洞,分别是“熔断” (Meltdown,漏洞编号为CVE-2017-5754)和“幽灵”(Spectre,漏洞编号为 CVE-2017-5753、CVE-2017-5715),该漏洞影响英特尔(Intel)、美国超微半导体公司(AMD)等厂商生产的主流中央处理器(CPU)并导致用户敏感信息泄露。现就具体情况通报如下:

一、漏洞分析

“熔断”和“幽灵”漏洞利用了CPU芯片硬件层面乱序执行机制的缺陷,使得低权限的恶意访问者可以突破内存隔离,发动侧信道攻击。在未被许可的情况下读取同一系统中的其他进程或同一主机上其他虚拟机内存中的敏感信息,包括密码、帐户信息、加密密钥或理论上存储在内核内存中的任何内容。该漏洞打破了云平台基于虚拟化隔离技术的安全假设,任何虚拟机的租户或者不法分子可以通过利用该漏洞跨账户、跨虚拟机窃取其他用户的资料,这将给全球云计算基础设施的安全性带来严重威胁。

二、对策建议

(一)建议工业企业、工业控制系统厂商及工业控制系统安全企业密切跟踪漏洞进展,同时建议有关工业企业在修补漏洞或采取其他措施之前,要充分评估补丁可能带来的风险。

(二)按照《工业控制系统信息安全防护指南》要求,开展工业控制系统及工控主机的安全防护工作。一是做好安全配置,定期进行配置审计;二是通过边界防护设备对工控网络与企业网或互联网的边界进行安全防护;三是强化登录账户及密码,避免弱口令;四是关闭不必要的HTTP、FTP、TELNET等高风险服务,确需远程访问的,使用虚拟专用网络(VPN)进行接入;五是高度关注Web安全,对网站的弱口令、SQL注入、XSS、文件上传等漏洞进行及时修复。


相关文章


热点新闻
推荐产品