【操作系统安全漏洞】Intel处理器MeltDown/Spectre变种漏洞导致信息泄露

标签:操作系统安全,漏洞,硬件,信息泄露,Intel处理器,MeltDown/Spectre变种发布时间:2018-05-30

一、漏洞描述

北京时间2018年05月22日，Intel处理器芯片爆出新的MeltDown/Spectre变种漏洞，这些硬件处理器漏洞可能通过侧信道攻击的方式，导致未经授权的一些敏感数据泄露。漏洞披露前，阿里云已与Intel同步关键安全信息，并持续就修复方案做验证。

漏洞编号CVE-2018-3639（中危）：作为基于数据消歧功能进行推测执行的Spectre变种，主要影响为应用层沙箱设计软件，比如javascript等语言层隔离运行环境。恶意软件有可能通过侧信道攻击，突破沙箱或语言运行环境隔离，导致一些敏感信息泄露。SGX环境内的软件沙箱设计也会受该漏洞影响。

漏洞编号CVE-2018-3640（中危）：该漏洞是MeltDown漏洞的一种变体，允许恶意攻击者通过侧信道攻击方式，越权访问MSR中的敏感信息。该漏洞对于云平台本身及用户操作系统也有一定影响，可能泄露保存在MSR中的地址信息，突破地址随机化保护，但影响有限，且不影响用户虚拟机本身数据。

二、影响风险

该漏洞存在于英特尔（Intel）x86-64的硬件中，存在通过侧信道攻击，导致信息泄露风险，漏洞利用难度大，影响有限。

三、情报来源