所属分类 > 病毒与安全 > 漏洞与防护 > 安全公告:LEN-22133 推理执行侧信道变体相关漏洞

安全公告:LEN-22133 推理执行侧信道变体相关漏洞

. 2018-06-14 17:58:13 | 知识编号: 174867

故障现象:

Lenovo 安全公告:LEN-22133


潜在影响:在本地运行的恶意代码可能能够访问特权内存或寄存器中的内容,绕过预期的特权级别


严重性


影响范围:全行业


CVE ID: CVE-2018-3639、CVE-2018-3640


摘要描述:


Lenovo 的研究人员已经意识到影响某些 Intel、AMD 和名为“变体 4 - 推理存储旁路”和“变体 3a - Rogue 系统寄存器读取”的其他处理器的漏洞。这两种都是“侧信道”漏洞,即他们不会直接访问受保护的数据,但是会引导处理器以特定的方式运行,并观察执行时间或其他外部可见的特征,用于推断受保护的数据。


解决方案:

应采取哪些措施进行自我保护:


一月披露的同一侧信道攻击(变体 1 CVE-2017-5753、变体 2 CVE-2017-5715 和变体 3 CVE-2017-5754)系列中有两种新漏洞变体。Intel 等处理器制造商正在进行 BIOS 微代码更新以便应对变体 4 和 3a。建议这些缓解措施推出后尽快更新浏览器、操作系统和 BIOS。


变体 4:推理存储旁路(CVE-2018-3639


·  更新 BIOS


·  更新操作系统


·  更新应用程序


变体 3a:Rogue 寄存器加载(CVE-2018-3640​)


·  更新 BIOS


在验证修复程序或出现新信息后我们会不断地更新此页面。请时常进行查看。


进行修补和固件更新前,可以通过遵循常用的安全最佳实践降低风险,避免攻击者在您系统本地运行代码。例如:只允许已知和受信任的用户进行访问;仅安装受过正常审查的受信任的应用程序;只访问声誉良好、显眼广告和取自其他资源内容最少的网站;如果可行,关闭浏览器的 JavaScript。


产品影响:


客户端:


台式机


Desktop - All in One


IdeaPad - 更新即将可用


ThinkPad


ThinkStation


企业:


Converged 和 ThinkAgile 解决方案


HPC 存储解决方案


Hyperscale


智能集群


网络交换机


服务器管理软件


存储器


System x -Lenovo


System x(IBM)


ThinkServer


ThinkSystem


参考资料:


Intel 安全公告 INTEL-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html


研究员披露的变体 4: https://bugs.chromium.org/p/project-zero/issues/detail?id=1528


适用于推理存储旁路(CVE-2018-3639)的 Microsoft 指南: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012


适用于 Rogue 系统寄存器读取(CVE-2018-3640)的 Microsoft 指南:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013


Microsoft 安全研究和防护博客: https://aka.ms/sescsrdssb


ARM 披露的变体 3a: https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability


有关变体 4 的 AMD 信息: https://www.amd.com/en/corporate/security-updates#paragraph-290416


US-CERT 警报: https://www.us-cert.gov/ncas/alerts/TA18-141A


针对变体 1、2 和 3 的 Lenovo 公告 LEN-18282 – 借助侧信道读取特权内存:https://support.lenovo.com/us/en/solutions/LEN-18282


VMware 安全公告: https://www.vmware.com/security/advisories/VMSA-2018-0012.html


VMware 知识库起点(VMware“真实来源”): https://kb.vmware.com/kb/54951


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。