1. 主页
  2. 保安警报
  3. 保安警报 (A19-05-09)

保安警报 (A19-05-09): Intel 产品多个漏洞


 

发布日期: 2019年 5月 16日

  
  

描述:

Intel最近发现一组统称为Microarchitectural Data Sampling (MDS)的漏洞影响一些Intel处理器。漏洞让攻击者通过在本机的系统上执行程式码而推断和读取在同一系统上运行的另一个程序的受保护数据。攻击者需于受影响系统运行恶意程式及分析大量收集的数据从而攻击这些漏洞。

 

受影响的系统:

  • 第3代、第4代、第5代、第6代、第7代、第8代及第9代Intel Core处理器系列
  • Intel Atom处理器A、C、D、E3800、E3900、T、X及Z系列
  • Intel Celeron处理器系列
  • Intel Core X系列处理器
  • Intel Mobile Communications Platforms
  • Intel Pentium处理器系列
  • Intel Puma系列
  • Intel Xeon Phi x200, 72x5处理器系列
  • Intel Xeon Processor D、E、E3、E3 v2、E3 v3、E3 v4、E3 v6、E5 v2、E5、E5 v3、E5 v4、E7、E7 v2、E7 v3、E7 v4及W系列
  • Intel Xeon Scalable处理器
  • Legacy Intel Celeron处理器
  • Legacy Intel Core处理器
  • Legacy Intel Pentium处理器

 

影响:

成功利用这些漏洞可导致泄漏资讯。

 

建议:

更新系统、浏览器及韧体至最新版本

一些产品供应商已发布修补程式及/或提供有关降低MDS漏洞带来的风险的资讯。以下列表并不包括所有受影响的系统,系统管理员应咨询产品供应商,以确认使用的产品是否受到影响,以及修补程式及缓解措施的情况。

  • Apple
    https://support.apple.com/en-us/HT210107
  • AWS
    https://aws.amazon.com/tw/security/security-bulletins/AWS-2019-004/
  • Citrix
    https://www.citrix.com/blogs/2019/05/14/microarchitectural-data-sampling-security-issues-and-mitigations/
  • Debian
    https://www.debian.org/security/2019/dsa-4444
  • Google
    https://support.google.com/faqs/answer/9330250?hl=en
  • HP
    https://support.hp.com/emea_africa-en/document/c06326397
  • IBM
    https://www.ibm.com/blogs/psirt/ibm-addresses-reported-intel-security-vulnerabilities/
  • Lenovo
    https://download.lenovo.com/pccbbs/mobiles/n2euj12w.txt
  • Linux Kernel
    https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
  • Microsoft
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190013
  • Oracle
    https://blogs.oracle.com/security/intelmds
  • Red Hat
    https://access.redhat.com/security/vulnerabilities/mds
  • SUSE
    https://www.suse.com/c/suse-addresses-microarchitectural-data-sampling-vulnerabilities/
  • Ubuntu
    https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
  • VMware
    https://www.vmware.com/security/advisories/VMSA-2019-0008.html
  • Xen
    https://seclists.org/oss-sec/2019/q2/111

更新抗恶意程式码软件及其识别码至最新版本

由于这些漏洞需要在受影响的系统上运行恶意软件,系统管理员及用户应定期检查及更新抗恶意程式码软件及其识别码至最新版本,以降低被攻击或受感染的风险。

仅使用获授权的软件

从互联网下载的软件可能包含恶意程式码,用户应从官方渠道获取软件。

 

进一步信息:

https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
https://cpu.fail/
https://www.securityweek.com/intel-mds-vulnerabilities-what-you-need-know?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29&quicktabs_1=1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12126
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12127
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12130
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11091

 



标签 : Intel , Intel Atom , Celeron , Intel Core , Intel Pentium , Intel Puma , Intel Xeon , Intel Mobile Communications Platforms
标签