信安标委秘书处：CPU熔断和幽灵漏洞防范这么做……

昨日，全国信息安全标准化技术委员会秘书处（以下简称“信安标委秘书处”）针对近期披露的CPU熔断（Meltdown）和幽灵（Spectre）漏洞，组织相关厂商和安全专家，编制发布了《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》（以下简称《防范指引》)。

CPU熔断（Meltdown）和幽灵（Spectre）漏洞：

1月4日，国家信息安全漏洞共享平台（CNVD）收录了CPU处理器内核的Meltdown漏洞（CNVD-2018-00303）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304）。利用上述漏洞，攻击者可以绕过内存访问的安全隔离机制，使用恶意程序来获取操作系统和其他程序的被保护数据，造成内存敏感信息泄露。CNVD对该漏洞的综合评级为“高危”。

信安标委秘书处相关负责人表示，熔断和幽灵漏洞影响范围覆盖主流CPU，引发广泛的关注。相关厂商应及时应对，为产品提供必要的技术支持，有序开展补丁升级工作，引导用户提高安全意识，有效控制相关风险，维护用户利益。

据介绍，本次披露的漏洞属于芯片级漏洞，主要影响和风险包括窃取内存数据、造成敏感信息泄漏等。目前尚未发现利用上述漏洞针对个人用户的直接攻击。

《防范指引》就受熔断和幽灵漏洞威胁的四类典型用户，包括云服务提供商、服务器用户、云租户、个人用户等，给出了详细的防范指引，并提供了部分厂商安全公告和补丁链接。

云服务提供商和服务器用户：应在参考CPU厂商和操作系统厂商建议的基础上，结合自身环境制定升级方案，综合考虑安全风险、性能损耗等因素，采取相关安全措施防范风险；

云租户和个人用户：应及时关注云服务提供商、操作系统厂商、浏览器厂商等提供的安全补丁，及时升级，避免受到漏洞的影响。