报告编号: B6-2018-050702

报告来源: 360-CERT

报告作者: 360-CERT

更新日期: 2018-05-07

漏洞描述

日前,360-CERT监测到一些研究团队向Intel 官方报告了CPU最新的8个安全漏洞,目前这些漏洞细节正在被保密中,这些安全漏洞实质上是由相同的设计逻辑缺陷产生的。安全人员为了区别之前的安全缺陷,将这些漏洞称为Spectre-NG。

Intel已经在为Spectre-NG开发补丁程序,并和操作系统制造商合作开发其他补丁程序。Intel正在计划两波补丁。第一个计划在五月开始; 第二个计划在8月份进行。然而根据漏洞90天披露原则,Google Project Zero可能将在2018年5月7日公布其中一个漏洞细节,360-CERT团队经过评估,认为漏洞风险等级重要,影响广泛,360-CERT会对该事件保持关注。

漏洞影响面

Intel将其中四个Spectre-NG漏洞分类为“高风险”,剩下四个评为“中等危害”。这些漏洞同样影响至少一小部分ARM处理器,并可能影响AMD处理器架构。其中一个Spectre-NG漏洞简化了跨系统边界的攻击,因此我们估其危害等级的可能远高于之前的Spectre漏洞。攻击者可以利用该漏洞从虚拟机逃逸进而攻击主机系统,这意味着它可以被用来攻击云主机系统,或者运行在同一台服务器上的其他客户的虚拟机,理论上可以让攻击者绕过云主机系统的虚拟机隔离,窃取密码和数字密钥等敏感数据,像亚马逊或Cloudflare等云服务提供商可能会深受其害。

之前的Meltdown和Spectre漏洞信息见:

https://cert.360.cn/warning/detail?id=42c2159731a55070e07abdff606dd928

安全建议

360CERT建议相关企业/用户关注相关厂商的更新以及后续相关的漏洞披露信息。

时间线

2018-05-03  Spectre-NG相关信息透露

2018-05-07  360-CERT 发布预警通告

参考链接

  1. https://www.heise.de/ct/artikel/Exclusive-Spectre-NG-Multiple-new-Intel-CPU-flaws-revealed-several-serious-4040648.html

  2. https://thehackernews.com/2018/05/intel-spectre-vulnerability.html

  3. https://gbhackers.com/spectre-ng/

  4. https://securityaffairs.co/wordpress/72158/hacking/spectre-ng-vulnerabilities.html

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。