Google Project Zero 就現今CPU微型處理器中所發現名為「Meltdown」及「Spectre」的推測執行旁路(speculative execution side channel)漏洞發表保安報告。這些漏洞容許未經授權並被隔離的程序,能夠讀取分配至處理其他程式的記憶體內的數據。遠端攻擊者可誘使用戶經有漏洞的瀏覽器開啓包含特製內容的網頁從而攻擊這些漏洞。主要瀏覽器的供應商已發布了保安公告以應對這些漏洞。
用戶應立即採取行動修補受影響瀏覽器以降低「Meltdown」及「Spectre」的CPU問題的風險。
成功利用這些漏洞可以導致遠端執行程式碼、提高權限或泄漏資訊服,視乎攻擊者利用哪個漏洞而定。
主要瀏覽器的供應商發布了修補程式或解決方法以應對問題,並撮錄如下:
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
https://support.google.com/faqs/answer/7622138#chrome
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://www.us-cert.gov/ncas/current-activity/2018/01/04/Mozilla-Releases-Security-Update
https://www.us-cert.gov/ncas/alerts/TA18-004A
https://www.hkcert.org/my_url/zh/alert/18010401
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
https://meltdownattack.com/
https://spectreattack.com/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0758
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0762
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0766 (to CVE-2018-0770)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0772 (to CVE-2018-0778)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0780
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0781
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0803