CPU漏洞引爆全球危机，深信服持续为您提供应对指南

近日，Google安全团队爆出Intel的CPU存在安全漏洞，编号分别为CVE-2017-5753、CVE-2017-5715以及CVE-2017-5754。本次漏洞是由于CPU的设计中“预测执行”和“乱序执行”在实现上存在缺陷导致的，攻击者可以通过漏洞获取宿主机的敏感信息，如密码等。本次漏洞影响Intel自1995年之后生产的所有CPU。

漏洞分析

漏洞危害

本次披露的漏洞影响Intel自1995年之后生产的所有CPU，同时受影响的还有AMD、ARM等存在“预测执行”等能力的CPU，在这些CPU架构之上的Android、iOS、Linux及Windows等主流操作系统均受影响。

针对CPU进行攻击有Meltdown和Spectre两种方法。 Meltdown涉及CVE-2017-5754漏洞，攻击者可以通过漏洞获取系统内核中的数据，破坏应用和系统的隔离，该漏洞主要是Intel的CPU受影响。Spectre涉及CVE-2017-5753、CVE-2017-5715两个漏洞，攻击者可以通过漏洞获取其他进程中的数据，破坏了应用之间的隔离，该漏洞影响所有具有“预测执行”等能力的CPU，包括AMD及ARM。

两种类型的攻击均可能导致攻击者获取敏感信息，也可以导致ASLR等漏洞缓解机制的失效，辅助进行其他远程代码执行漏洞的利用。但如果攻击者想要利用这些漏洞，需要在被攻击主机上执行相关CPU指令，如诱使浏览器打开恶意网页通过JavaScript远程执行，或者直接通过低权限在操作系统上执行代码。

漏洞检测

目前验证漏洞的PoC（https://www.exploit-db.com/exploits/43427/）已经公布，可以通过PoC验证是否受漏洞影响。以下是在linux系统本地执行Spectre漏洞验证PoC的结果，可以将 "The Magic Words are Squeamish Ossifrage." 这个字符串序列打印出来该主机表明受漏洞影响：

在Windows受漏洞影响的主机运行PoC结果如下：

解决方案

CPU、操作系统、浏览器厂商解决方案

此次CPU漏洞事件修复难度较高，需要CPU厂商、操作系统厂商等共同协作进行修复，目前部分CPU厂商、操作系统厂商、浏览器厂商采取了措施来解决该问题。

1、CPU芯片厂商

以下是部分CPU芯片厂商的通告，请持续关注并在CPU芯片厂商给出升级补丁后尽快进行升级。

Intel：

Intel宣称已经发布了针对其主流CPU的更新，并将在下周末前发布针对近5年90%存在此问题的CPU的安全更新：

https://newsroom.intel.com/news/intel-responds-to-security-research-findings

AMD:

AMD主要受Spectre漏洞影响，其安全公告中表示该漏洞由软件和操作系统厂商来发布补丁修复：

https://www.amd.com/en/corporate/speculative-execution

ARM:

ARM提供了新的编译器并且发布了Linux的ARM内核补丁：

https://developer.arm.com/support/security-update

2、操作系统厂商

目前已经有Windows、MacOS、Redhat等操作系统给出了相关解决方案。

Windows:

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

MacOS:

升级至10.13.2版本

Redhat:

https://access.redhat.com/security/vulnerabilities/speculativeexecution

https://access.redhat.com/errata/RHSA-2018:0007

https://access.redhat.com/errata/RHSA-2018:0008

SUSE Linux Enterprise Server:

https://www.suse.com/security/cve/CVE-2017-5754/

https://www.suse.com/security/cve/CVE-2017-5753/

https://www.suse.com/security/cve/CVE-2017-5715/

3、浏览器

针对这个漏洞攻击者可能利用浏览器进行远程攻击，浏览器厂商也针对此次漏洞进行了版本升级。

FireFox：

更新至57版本：

https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/

IE及Edge：

https://support.microsoft.com/zh-cn/help/4056890/windows-10-update-kb4056890

Chrome：

更新至64版本（预计1月23日更新）

深信服解决方案

1、通过深信服检测工具进行检测，并及时升级补丁：

用户可以根据操作系统类型，下载对应的工具，检测是否受到该漏洞影响，具体下载地址如下，如果存在漏洞，请及时下载补丁进行升级。

Windows版检测工具：

Linux版检测工具：

2、此次漏洞存在一种攻击者诱使受害者打开恶意网页并执行其中的JavaScript代码来实现远程代码攻击的可能，针对这种情况，对于使用深信服下一代防火墙的用户，请及时更新恶意URL地址库，杜绝恶意网页的访问，从源头上避免可能出现的漏洞利用攻击。

深信服后续跟踪计划：

本次漏洞是芯片底层设计缺陷所致，影响范围非常大。但要想利用这些漏洞，攻击者需要获取被攻击主机本地执行CPU指令的权限。如果想要远程利用该漏洞，可能通过浏览器等方式进行，那么攻击者需要诱使受害者打开恶意网页并执行其中的JavaScript代码来实现。如果您安全意识良好，不轻易打开陌生网页、陌生邮件中的附件或链接，基本不会受这种远程攻击方式的影响。

由于该漏洞影响范围广，现阶段用户仍有受到远程攻击的风险。深信服千里目安全实验室将持续关注此漏洞的最新动态，第一时间为您提供可靠完整的解决方案，协助您及时完成安全加固！