所有分类 > 病毒与安全 > 漏洞与防护 > 安全公告:通过旁道攻击来读取特权内存

安全公告:通过旁道攻击来读取特权内存

. 1515381023 | 知识编号: 167423

联想安全公告:LEN-18282


潜在影响:本地运行的恶意代码可能会绕过预先设置的特权级别观察到特权内存的内容。


严重性


影响范围:全信息技术行业


CVE标识符:


“Spectre”       CVE-2017-5753,CVE-2017-5715


“Meltdown”  CVE-2017-5754


简要说明:


联想知道被漏洞发现者称为 “Spectre”和“Meltdown”的中央处理器的漏洞。两者都是“旁道”漏洞,它们不直接访问受保护的数据,而是诱使处理器以特定的方式运行,观察其执行时间或其他外部可现的特征来推断受保护的数据。


我们继续与我们的中央处理器和操作系统供应商合作,在我们收到他们的修复程序后加入我们受影响的产品。随着修复程序的发布和新的漏洞信息的出现,联想将频繁更新本页面。请经常检查阅读此页面。






您应该如何保护自己:


有三个相关的漏洞变种。全部需要操作系统更新来解决。其中一个还需要处理器微码更新(请参阅下面的产品影响部分)。


变种1:边界检查旁路(CVE-2017-5753)


A、需要操作系统更新


B、某些配置系统需要驱动或者应用软件升级


C、受到“Spectre”漏洞袭击


变种2:分支目标注入(CVE-2017-5715)


A、需要处理器微码更新


B、需要操作系统更新


C、某些配置系统需要驱动或者应用软件升级


D、受到“Spectre”漏洞袭击


变体3:强行数据缓存加载(CVE-2017-5754)


A、需要操作系统更新


B、受到“Meltdown”漏洞的攻击

 

我们建议客户尽快更新操作系统和固件。PC 用户点击此处获取最新的操作系统修补程序。


在修补和固件更新之前,您可以遵循常规的安全最佳实践来降低您的安全风险,以防止攻击者在您的系统里运行恶意代码。 例如:限制用户访问只允许已知并可信赖的用户访问; 只安装经过审查的可信赖应用程序; 只访问信誉良好的网站,避免访问有很多突出广告和外来内容的网站; 如果可行,请关闭浏览器中的JavaScript。






产品影响:


杀毒软件阻止微软系统升级:微软公司发现部分杀毒产品阻止它们给系统打补丁,请 点击此处 查看。微软停止了给这些系统打补丁直到这些杀毒软件被升级或者被卸载。请 点击此处 了解如何解决此问题。


NVIDIA GPU 设备驱动:联想已经得到提醒大部分NVIDIA GPUs 也受到CVE-2017-5753 和CVE-2017-5715 (Spectre)的影响。请点击如下 NVIDIA 安全公告获取更多信息:


Driver – http://nvidia.custhelp.com/app/answers/detail/a_id/4611


GeForce Experience – http://nvidia.custhelp.com/app/answers/detail/a_id/4610



客户端系统


以下指南专为联想个人计算机(联想个人电脑和智能设备集团)所提供:


撤回CPU微码升级:为处理变种2,Intel提供给了联想的CPU微码升级包,之后联想将其纳入BIOS/UEFI固件。最近,Intel告知其中两个CPU微码升级包有质量问题。这些问题都被标记在产品表格“升级被Intel撤回+标注”栏中,以及以下相关脚注的内容说明。


*1 - (Kaby Lake U/Y, U23e, H/S/X) 的症状:当进入系统睡眠(S3)循环期间,间歇性系统当机。如果您已经应用了固件升级并且在睡眠/唤醒状态时经历了系统当机。请将BIOS/UEFI刷回之前的版本,或者关闭睡眠(S3)模式;之后等待新的升级。如果您并没有安装此升级,请直接等待新的固件版本推送。


*2 - (Broadwell E)的症状:当系统重起时间歇性的蓝屏。如果您已经应用此升级,Intel建议您继续使用此版本直到新版本推送。如果您并没有安装此升级,请直接等待新的固件版本推送。


请点击以下链接获得更多信息:


Desktop


Desktop - All In One


IdeaPad


Tablet


ThinkPad


ThinkStation

 


企业级系统


以下指南专为联想企业级(联想数据中心业务集团)所提供:


数据中心业务集团SCA漏洞信息联系地址:如果,通过本公告的咨询,您针对旁道攻击漏洞还有问题和顾虑,以及它们是如何影响您使用的我们的企业级系统产品,请联系:dcgscainfo@lenovo.com


撤回 Broadwell的CPU微码升级:Intel针对变种2漏洞提供了CPU微码升级,联想将此CPU微码升级集成进了UEFI固件中。但是Intel发现了一个关于Broadwell微码升级包的质量问题,并要求联想停止分发推送受影响的Broadwell升级微码。因此,联想撤回有了有受质量问题的Broadwell升级微码影响的UEFI固件。当Intel修改好微码并推送给联想后我们会尽快集成打包并发布新的UEFI固件升级。受此事影响的服务器已经在表格中被标记:“先前的升级包因为微码质量问题被撤回”。


受Intel告知,客户已经安装以前的升级但没有发现问题的可以继续使用原来的固件升级,无需回滚到之前的版本。


微软Windows服务器更新:Windows服务器解决此旁道攻击漏洞的更新功能是默认关闭的,需要打开后才能获得对应的保护。具体请 点击此处 详细了解。


提示:如果没有安装并启用微软服务器更新功能,即使CPU的微码已修复好的情况下,微软的推测控制验证PowerShell脚本会误报CPU修复微码不存在。


请点击链接获得更多信息。


Converged and ThinkAgile Solutions


Hyperscale


Networking Switches


Server Management Software


Storage


System x - IBM


System x - Lenovo


ThinkServer


ThinkSystem



受影响的联想产品请点击 这里






其他信息和参考文献:


Intel: https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html


Google安全博客: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html


Google Project Zero 研究室: https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html


Google 产品状态: https://support.google.com/faqs/answer/7622138


原创研究: https://meltdownattack.com/ or https://spectreattack.com/


Microsoft: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe






公告和补丁向导:


Intel: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr


AMD: http://www.amd.com/en/corporate/speculative-execution


ARM: https://developer.arm.com/support/security-update


Cert/CC: https://www.kb.cert.org/vuls/id/584653


Chromium: https://www.chromium.org/Home/chromium-security/ssca


Citrix: https://support.citrix.com/article/CTX231390


Google: https://support.google.com/faqs/answer/7622138#chrome


Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002


Microsoft 知识库: https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890


Microsoft (客户端): https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe


Microsoft (服务端): https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution


Microsoft (防病毒): https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software


Microsoft PowerShell脚本用于随机性控制验证: https://gallery.technet.microsoft.com/scriptcenter/Speculation-Control-e36f0050


Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/


Nutanix (pdf): http://info.nutanix.com/m0005p00w098CO7EV0V0GQ0


NVIDIA: http://nvidia.custhelp.com/app/answers/detail/a_id/4611


Red Hat: https://access.redhat.com/security/vulnerabilities/speculativeexecution


SAP (login required): https://launchpad.support.sap.com/#/notes/2585891 - Meltdown and Spectre execution vulnerabilities on Linux


SAP (login required): https://launchpad.support.sap.com/#/notes/2586312 - Linux: How to protect against speculative execution vulnerabilities


SUSE: https://www.suse.com/support/kb/doc/?id=7022512


Symantec: https://support.symantec.com/en_US/article.INFO4793.html


Ubuntu : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown


US-CERT: https://www.us-cert.gov/ncas/alerts/TA18-004A


VMware: https://www.vmware.com/security/advisories/VMSA-2018-0004.html


VMware 缓解措施: https://kb.vmware.com/s/article/52245


Xen: https://xenbits.xen.org/xsa/advisory-254.html



联想所有产品安全公告请点击 这里






本安全公告修订记录:


修订记录日期描述
7 2018-01-10 升级VMWare 参考连接; 增加以下升级ThinkPad, Desktop, IdeaPad,  System x-IBM and Networking.
 Extended product impact information.
6 2018-01-09 增加以下升级System x - Lenovo, System x - IBM, ThinkServer,  Hyperscale, Converged and ThinkAgile Solutions and Storage.
5 2018‑01‑08 17:35 增加以下升级ThinkPad, IdeaPad and ThinkStation,
 System x-IBM, and Storage.
4 2018‑01‑08 09:40 增加以下升级Hyperscale, Server Management Software,
 and Enterprise Solutions
3 2018‑01‑07 增加参考链接; 增加以下产品升级Desktop, Network Switches,
 Storage, System x-IBM, System x-Lenovo,
 THinkPad, ThinkServer, ThinkStation, and ThinkSystem
2 2018‑01‑04 增加产品更新
1 2018‑01‑03 初次发布


有关最新信息,请随时关注Lenovo提供的有关您的设备和软件的更新和建议。 此通报中提供的信息按“原样”提供,不提供任何形式的担保或保证。 联想保留随时更改或更新此通报的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。