1. 主頁
  2. 保安警報
  3. 保安警報 (A19-05-09)

保安警報 (A19-05-09): Intel 產品多個漏洞


 

發布日期: 2019年 5月 16日

  
  

描述:

Intel最近發現一組統稱為Microarchitectural Data Sampling (MDS)的漏洞影響一些Intel處理器。漏洞讓攻擊者通過在本機的系統上執行程式碼而推斷和讀取在同一系統上運行的另一個程序的受保護數據。攻擊者需於受影響系統運行惡意程式及分析大量收集的數據從而攻擊這些漏洞。

 

受影響的系統:

  • 第3代、第4代、第5代、第6代、第7代、第8代及第9代Intel Core處理器系列
  • Intel Atom處理器A、C、D、E3800、E3900、T、X及Z系列
  • Intel Celeron處理器系列
  • Intel Core X系列處理器
  • Intel Mobile Communications Platforms
  • Intel Pentium處理器系列
  • Intel Puma系列
  • Intel Xeon Phi x200, 72x5處理器系列
  • Intel Xeon Processor D、E、E3、E3 v2、E3 v3、E3 v4、E3 v6、E5 v2、E5、E5 v3、E5 v4、E7、E7 v2、E7 v3、E7 v4及W系列
  • Intel Xeon Scalable處理器
  • Legacy Intel Celeron處理器
  • Legacy Intel Core處理器
  • Legacy Intel Pentium處理器

 

影響:

成功利用這些漏洞可導致泄漏資訊。

 

建議:

更新系統、瀏覽器及韌體至最新版本

一些產品供應商已發布修補程式及/或提供有關降低MDS漏洞帶來的風險的資訊。以下列表並不包括所有受影響的系統,系統管理員應諮詢產品供應商,以確認使用的產品是否受到影響,以及修補程式及緩解措施的情況。

  • Apple
    https://support.apple.com/en-us/HT210107
  • AWS
    https://aws.amazon.com/tw/security/security-bulletins/AWS-2019-004/
  • Citrix
    https://www.citrix.com/blogs/2019/05/14/microarchitectural-data-sampling-security-issues-and-mitigations/
  • Debian
    https://www.debian.org/security/2019/dsa-4444
  • Google
    https://support.google.com/faqs/answer/9330250?hl=en
  • HP
    https://support.hp.com/emea_africa-en/document/c06326397
  • IBM
    https://www.ibm.com/blogs/psirt/ibm-addresses-reported-intel-security-vulnerabilities/
  • Lenovo
    https://download.lenovo.com/pccbbs/mobiles/n2euj12w.txt
  • Linux Kernel
    https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
  • Microsoft
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190013
  • Oracle
    https://blogs.oracle.com/security/intelmds
  • Red Hat
    https://access.redhat.com/security/vulnerabilities/mds
  • SUSE
    https://www.suse.com/c/suse-addresses-microarchitectural-data-sampling-vulnerabilities/
  • Ubuntu
    https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
  • VMware
    https://www.vmware.com/security/advisories/VMSA-2019-0008.html
  • Xen
    https://seclists.org/oss-sec/2019/q2/111

更新抗惡意程式碼軟件及其識別碼至最新版本

由於這些漏洞需要在受影響的系統上運行惡意軟件,系統管理員及用戶應定期檢查及更新抗惡意程式碼軟件及其識別碼至最新版本,以降低被攻擊或受感染的風險。

僅使用獲授權的軟件

從互聯網下載的軟件可能包含惡意程式碼,用戶應從官方渠道獲取軟件。

 

進一步資訊:

https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
https://cpu.fail/
https://www.securityweek.com/intel-mds-vulnerabilities-what-you-need-know?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29&quicktabs_1=1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12126
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12127
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12130
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11091

 



標籤 : Intel , Intel Atom , Celeron , Intel Core , Intel Pentium , Intel Puma , Intel Xeon , Intel Mobile Communications Platforms
標籤