“芯片漏洞门”再敲信息安全警钟

“智能手机或计算机又发现了某个安全漏洞，容易遭受黑客攻击”，这类警告对于信息时代的人们来说已司空见惯。但是，近日谷歌公司某安全团队披露了2组3个芯片高危漏洞，这场漏洞风波几乎席卷所有智能手机、计算机和服务器，时间跨度甚至超过20年，被业内形容为“史上最严重的安全漏洞”。

漏洞分析

这2组芯片高危漏洞分别是“熔断”（Meltdown，编号CVE-2017-5754，乱序执行缓存污染）和“幽灵”（Spectre，编号CVE-2017-5753，边界检查绕过、CVE-2017-5715，分支目标注入）。

研究发现，两组芯片漏洞的起因皆为芯片厂商长期为提高CPU执行效率而引入的两个特征乱序执行（Out-of-Order Execution）和推测执行（Speculative Execution）。“熔断”和“幽灵”漏洞利用了CPU芯片硬件层面乱序执行机制的缺陷，使得低权限的恶意访问者可以突破内存隔离，发动侧信道攻击。在未被许可的情况下读取同一系统中的其他进程或同一主机上其他虚拟机内存中的敏感信息，包括密码、账户信息、加密密钥或理论上存储在内核内存中的任何内容。此次芯片漏洞门事件打破了云平台基于虚拟化隔离技术的安全假设，任何虚拟机的租户或者不法分子可以通过利用该漏洞跨账户、跨虚拟机窃取其他用户的资料，这将给全球云计算基础设施的安全性带来严重威胁。

对策建议

对于工业企业、工业控制系统厂商及工业控制系统安全企业来说，一是建议密切跟踪芯片漏洞进展，同时建议有关工业企业在修补漏洞或采取其他措施之前，要充分评估补丁可能带来的风险。二是按照《工业控制系统信息安全防护指南》要求，开展工业控制系统及工控主机的安全防护工作：做好安全配置，定期进行配置审计；通过边界防护设备对工控网络与企业网或互联网的边界进行安全防护；强化登录账户及密码，避免弱口令；关闭不必要的HTTP、FTP、TELNET等高风险服务，确需远程访问的，使用虚拟专用网络（VPN）进行接入；高度关注Web安全，对网站的弱口令、SQL注入、XSS、文件上传等漏洞进行及时修复。

对于计算机用户来说，建议及时做好防范措施。一是升级最新的操作系统和虚拟化软件补丁，目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁，升级后可以阻止这些漏洞被利用；二是升级最新的浏览器补丁，目前微软IE、Edge和Firefox都推出了浏览器补丁，升级后可以阻止这些漏洞被利用； 三是等待或要求云服务商及时更新虚拟化系统补丁；四是安装正规安全软件。

在新信息革命呼之欲出的当下，整个IT业对芯片运算能力的需求是巨大的。物联网、5G、人工智能、深度学习、云计算等新兴领域都对芯片的计算能力提出了更高要求。芯片制造商如何在效率与安全两个方面求得平衡，这个问题的紧迫性日益凸显。

END

（文章来源：《保密科学技术》，作者：于成丽 / 中国信息通信研究院；文中图片来源：百度图库）

欢迎扫描关注

保密科学技术微信账号