Google Project Zero及Microsoft最近披露了名为「Rogue System Register Read (RSRE, 变种3a) 」 及「Speculative Store Bypass (SSB, 变种4)」的漏洞,这些漏洞与之前2018年1月发布的「Meltdown」和「Spectre」问题有关。该漏洞使用旁路分析(side-channel analysis)来攻击现今 CPU 微型处理器中的推测执行(speculative execution)功能,以绕过 Kernel 位址空间配置随机载入(Kernel Address Space Layout Randomization (KASLR) )的保护以及跨过信任边界读取特权的数据。攻击者需要拥有本机用户的权限以在受影响的系统上载入及执行恶意程式,或透过特制内容的网页从而攻击这些漏洞。
以下仅为一些受影响产品的例子。该列表并不包括所有受影响的产品,我们强烈建议用家咨询产品供应商以确定使用中产品是否受到影响。
处理器:
作业系统:
虚拟机器监察器(Hypervisors):
成功利用这些漏洞可以导致泄漏资讯。
保持系统及的韧体至最新版本
系统管理员应向产品供应商查询修补程式的情况,并尽快采用任何可用的更新以降低风险。微码(Microcode)及其他系统的更新预计将在未来数周内发布。
给浏览器安装修补程式
大部份大型浏览器的供应商之前已经就其软件内的「Meltdown」和「Spectre变种1」问题提供了缓和措施。这些缓和措施亦大大增加了利用变种4漏洞作网络攻击的难度。所以用家应遵从最佳作业实务以经常保持其浏览器至最新版本。
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180013
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://www.hkcert.org/my_url/zh/alert/18052301
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.kb.cert.org/vuls/id/180049
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640