Google Project Zero及Microsoft最近披露了名為「Rogue System Register Read (RSRE, 變種3a) 」 及「Speculative Store Bypass (SSB, 變種4)」的漏洞,這些漏洞與之前2018年1月發布的「Meltdown」和「Spectre」問題有關。該漏洞使用旁路分析(side-channel analysis)來攻擊現今 CPU 微型處理器中的推測執行(speculative execution)功能,以繞過 Kernel 位址空間配置隨機載入(Kernel Address Space Layout Randomization (KASLR) )的保護以及跨過信任邊界讀取特權的數據。攻擊者需要擁有本機用戶的權限以在受影響的系統上載入及執行惡意程式,或透過特製內容的網頁從而攻擊這些漏洞。
以下僅為一些受影響產品的例子。該列表並不包括所有受影響的產品,我們強烈建議用家諮詢產品供應商以確定使用中產品是否受到影響。
處理器:
作業系統:
虛擬機器監察器(Hypervisors):
成功利用這些漏洞可以導致泄漏資訊。
保持系統及的韌體至最新版本
系統管理員應向產品供應商查詢修補程式的情況,並儘快採用任何可用的更新以降低風險。微碼(Microcode)及其他系統的更新預計將在未來數週內發布。
給瀏覽器安裝修補程式
大部份大型瀏覽器的供應商之前已經就其軟件內的「Meltdown」和「Spectre變種1」問題提供了緩和措施。這些緩和措施亦大大增加了利用變種4漏洞作網絡攻擊的難度。所以用家應遵從最佳作業實務以經常保持其瀏覽器至最新版本。
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180013
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://www.hkcert.org/my_url/zh/alert/18052301
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.kb.cert.org/vuls/id/180049
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640