今日頭條
官方微信
官方抖音
資訊頻道2018年1月3日,美國谷歌(Google)公司安全團隊Project Zero披露了2組、共3個高危漏洞,分別是“熔斷” (Meltdown,漏洞編號為CVE-2017-5754)和“幽靈”(Spectre,漏洞編號為 CVE-2017-5753、CVE-2017-5715),該漏洞影響英特爾(Intel)、美國超微半導體公司(AMD)等廠商生產的主流中央處理器(CPU)并導致用戶敏感信息泄露。現就具體情況通報如下:
一、漏洞分析
“熔斷”和“幽靈”漏洞利用了CPU芯片硬件層面亂序執行機制的缺陷,使得低權限的惡意訪問者可以突破內存隔離,發動側信道攻擊。在未被許可的情況下讀取同一系統中的其他進程或同一主機上其他虛擬機內存中的敏感信息,包括密碼、帳戶信息、加密密鑰或理論上存儲在內核內存中的任何內容。該漏洞打破了云平臺基于虛擬化隔離技術的安全假設,任何虛擬機的租戶或者不法分子可以通過利用該漏洞跨賬戶、跨虛擬機竊取其他用戶的資料,這將給全球云計算基礎設施的安全性帶來嚴重威脅。
二、對策建議
(一)建議工業企業、工業控制系統廠商及工業控制系統安全企業密切跟蹤漏洞進展,同時建議有關工業企業在修補漏洞或采取其他措施之前,要充分評估補丁可能帶來的風險。
(二)按照《工業控制系統信息安全防護指南》要求,開展工業控制系統及工控主機的安全防護工作。一是做好安全配置,定期進行配置審計;二是通過邊界防護設備對工控網絡與企業網或互聯網的邊界進行安全防護;三是強化登錄賬戶及密碼,避免弱口令;四是關閉不必要的HTTP、FTP、TELNET等高風險服務,確需遠程訪問的,使用虛擬專用網絡(VPN)進行接入;五是高度關注Web安全,對網站的弱口令、SQL注入、XSS、文件上傳等漏洞進行及時修復。
北京市公安局海淀分局備案號:11010802023656號