今日頭條
官方微信
官方抖音
資訊頻道2018年1月3日,美國(guó)谷歌(Google)公司安全團(tuán)隊(duì)Project Zero披露了2組、共3個(gè)高危漏洞,分別是“熔斷” (Meltdown,漏洞編號(hào)為CVE-2017-5754)和“幽靈”(Spectre,漏洞編號(hào)為 CVE-2017-5753、CVE-2017-5715),該漏洞影響英特爾(Intel)、美國(guó)超微半導(dǎo)體公司(AMD)等廠商生產(chǎn)的主流中央處理器(CPU)并導(dǎo)致用戶敏感信息泄露。現(xiàn)就具體情況通報(bào)如下:
一、漏洞分析
“熔斷”和“幽靈”漏洞利用了CPU芯片硬件層面亂序執(zhí)行機(jī)制的缺陷,使得低權(quán)限的惡意訪問(wèn)者可以突破內(nèi)存隔離,發(fā)動(dòng)側(cè)信道攻擊。在未被許可的情況下讀取同一系統(tǒng)中的其他進(jìn)程或同一主機(jī)上其他虛擬機(jī)內(nèi)存中的敏感信息,包括密碼、帳戶信息、加密密鑰或理論上存儲(chǔ)在內(nèi)核內(nèi)存中的任何內(nèi)容。該漏洞打破了云平臺(tái)基于虛擬化隔離技術(shù)的安全假設(shè),任何虛擬機(jī)的租戶或者不法分子可以通過(guò)利用該漏洞跨賬戶、跨虛擬機(jī)竊取其他用戶的資料,這將給全球云計(jì)算基礎(chǔ)設(shè)施的安全性帶來(lái)嚴(yán)重威脅。
二、對(duì)策建議
(一)建議工業(yè)企業(yè)、工業(yè)控制系統(tǒng)廠商及工業(yè)控制系統(tǒng)安全企業(yè)密切跟蹤漏洞進(jìn)展,同時(shí)建議有關(guān)工業(yè)企業(yè)在修補(bǔ)漏洞或采取其他措施之前,要充分評(píng)估補(bǔ)丁可能帶來(lái)的風(fēng)險(xiǎn)。
(二)按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求,開(kāi)展工業(yè)控制系統(tǒng)及工控主機(jī)的安全防護(hù)工作。一是做好安全配置,定期進(jìn)行配置審計(jì);二是通過(guò)邊界防護(hù)設(shè)備對(duì)工控網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)的邊界進(jìn)行安全防護(hù);三是強(qiáng)化登錄賬戶及密碼,避免弱口令;四是關(guān)閉不必要的HTTP、FTP、TELNET等高風(fēng)險(xiǎn)服務(wù),確需遠(yuǎn)程訪問(wèn)的,使用虛擬專用網(wǎng)絡(luò)(VPN)進(jìn)行接入;五是高度關(guān)注Web安全,對(duì)網(wǎng)站的弱口令、SQL注入、XSS、文件上傳等漏洞進(jìn)行及時(shí)修復(fù)。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)