Google Project Zero 就现今CPU微型处理器中所发现名为「Meltdown」及「Spectre」的推测执行旁路(speculative execution side channel)漏洞发表保安报告。这些漏洞容许未经授权并被隔离的程序,能够读取分配至处理其他程式的记忆体内的数据。远端攻击者可诱使用户经有漏洞的浏览器开启包含特制内容的网页从而攻击这些漏洞。主要浏览器的供应商已发布了保安公告以应对这些漏洞。
用户应立即采取行动修补受影响浏览器以降低「Meltdown」及「Spectre」的CPU问题的风险。
成功利用这些漏洞可以导致远端执行程式码、提高权限或泄漏资讯服,视乎攻击者利用哪个漏洞而定。
主要浏览器的供应商发布了修补程式或解决方法以应对问题,并撮录如下:
受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
https://support.google.com/faqs/answer/7622138#chrome
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://www.us-cert.gov/ncas/current-activity/2018/01/04/Mozilla-Releases-Security-Update
https://www.us-cert.gov/ncas/alerts/TA18-004A
https://www.hkcert.org/my_url/zh/alert/18010401
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
https://meltdownattack.com/
https://spectreattack.com/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0758
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0762
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0766 (to CVE-2018-0770)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0772 (to CVE-2018-0778)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0780
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0781
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0803