美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen等基于x86 AMD和英特尔CPU的系统都在遭受一个严重安全漏洞的影响,而该漏洞是由于操作系统开发者曲解了英特尔和AMD两家芯片厂商的调试文档所致。

CERT方面表示,受影响的操作系统和管理程序制造商周二发布了针对普通漏洞的补丁,这些普通漏洞可能让有效的黑客攻击者“读取了计算机内存中的敏感数据,或者是控制了一些低级别的操作系统功能。

目前,包括苹果、DragonFly BSD、FreeBSD、微软、红帽、SUSE Linux、Ubuntu、VMware和Xen等公司已发发布了可用的补丁。

以Linux系统为例,有两大独立的问题影响了Linux内核功能以及该内核功能的KVM管理程序。目前,所有可以更新的补丁链接均可以在CERT公告中获取。

根据红帽公司的描述,该漏洞来源于操作系统和管理程序处理现代CPU中特定调试功能的方式,在这些案例中,处理特定调试异常情况的方式正是引发这些漏洞的重要根源。红帽公司在公告中表示,“总体而言,在指令边界出现了异常,此前的所有边界都能够顺利完成,而此次异常漏洞出现之后,在处理过程中就立即被黑客加以利用。

对于Linux操作系统而言,这一漏洞可能会导致系统崩溃,而且还能够让黑客提升“访客”账户的访问权限。

微软表示,该漏洞允许黑客在内核模式下运行任意代码。微软表示,“为了嗅探这一漏洞,黑客首先需要登录系统。接下来,黑客可以运行特定应用来控制那些受影响的系统。”

VMware方面声称,该公司的管理程序没有受到影响,但是,包括VMware vCenter服务器、VMware数据保护和VMware vSphere Integrated Containers在内的产品可能受到了影响。

与此同时,Xen方面也表示,所有版本的Xen程序都受到了影响,但这一漏洞只能被软件虚拟化(PV)“访客”账户嗅探和利用,而硬件虚拟化(HVM)将无法发现和利用这一漏洞。

CERT表示,这一问题是由于操作系统开发者不正当处理这些异常情况所致。虽然这些漏洞与CPU的设计无关,但是,对异常的曲解主要是由于对这些指导说明缺乏清晰的理解。

这一漏洞最初由Everdox Tech的尼克-彼得森(Nick Peterson)和Triplefault.io的纳曼贾-穆尔斯马吉克(Nemanja Mulasmajic)发现。这两人将在BlackHat 2018上展示他们的研究成果。他们在研究报告中表示,“这是一个非常严重的安全漏洞,但却由于对相关文件产生不完整和不清晰的理解而导致系统开发者忽略了这一漏洞。”

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

1234
来自专栏FreeBuf

隐私泄露 | 查开房网站的背后

0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准...

1.3K9
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

19710
来自专栏FreeBuf

看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞,从而实现对受害者系统“悄无声息”地...

2258
来自专栏腾讯大讲堂的专栏

应用内容检查大法

作者:互娱iOS预审团队,隶属于互娱研发部品质管理中心,致力于互娱产品的iOS审核前的验收工作。 前面一篇分享了客户端检查的相关要点,本篇会给大家介绍有关应用内...

2238
来自专栏FreeBuf

百度软件中心版putty被曝恶意捆绑软件

近日,微步社区出现一则新情报,名为RTFM的用户发表文章《被污染的百度下载,被捆绑的Putty,为什么受伤的总是程序员?!》,引来网友热议。

1414
来自专栏知晓程序

网盘纷纷倒下,只有这个小程序才能救我于水火 | 亲儿子

我在广州冷热交加的空气,瑟瑟发抖的度过了半个月。最终还是没熬过,一周前光荣地倒在了流感的洪流中,转变为匍匐前进的工作模式。

1123
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

19910
来自专栏人人都是极客

做嵌入式开发知道这些,你才看起来像个高手!

做嵌入式系统开发,经常要接触硬件,需要对数字电路和模拟电路要有一定的了解,这样才能深入的研究下去。下面我们简单地介绍一下嵌入式开发中的一些硬件相关的概念。

1462
来自专栏FreeBuf

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利...

2915

扫码关注云+社区

领取腾讯云代金券