催更新Lenovo 安全公告:LEN-22133
潜在影响:在本地运行的恶意代码可能能够访问特权内存或寄存器中的内容,绕过预期的特权级别
严重性:中
影响范围:全行业
CVE ID: CVE-2018-3639、CVE-2018-3640
摘要描述:
Lenovo 的研究人员已经意识到影响某些 Intel、AMD 和名为“变体 4 - 推理存储旁路”和“变体 3a - Rogue 系统寄存器读取”的其他处理器的漏洞。这两种都是“侧信道”漏洞,即他们不会直接访问受保护的数据,但是会引导处理器以特定的方式运行,并观察执行时间或其他外部可见的特征,用于推断受保护的数据。
解决方案:
应采取哪些措施进行自我保护:
一月披露的同一侧信道攻击(变体 1 CVE-2017-5753、变体 2 CVE-2017-5715 和变体 3 CVE-2017-5754)系列中有两种新漏洞变体。Intel 等处理器制造商正在进行 BIOS 微代码更新以便应对变体 4 和 3a。建议这些缓解措施推出后尽快更新浏览器、操作系统和 BIOS。
变体 4:推理存储旁路(CVE-2018-3639)
· 更新 BIOS
· 更新操作系统
· 更新应用程序
变体 3a:Rogue 寄存器加载(CVE-2018-3640)
· 更新 BIOS
在验证修复程序或出现新信息后我们会不断地更新此页面。请时常进行查看。
进行修补和固件更新前,可以通过遵循常用的安全最佳实践降低风险,避免攻击者在您系统本地运行代码。例如:只允许已知和受信任的用户进行访问;仅安装受过正常审查的受信任的应用程序;只访问声誉良好、显眼广告和取自其他资源内容最少的网站;如果可行,关闭浏览器的 JavaScript。
产品影响:
客户端:
IdeaPad - 更新即将可用
企业:
参考资料:
Intel 安全公告 INTEL-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
研究员披露的变体 4: https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
适用于推理存储旁路(CVE-2018-3639)的 Microsoft 指南: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
适用于 Rogue 系统寄存器读取(CVE-2018-3640)的 Microsoft 指南:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
Microsoft 安全研究和防护博客: https://aka.ms/sescsrdssb
ARM 披露的变体 3a: https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability
有关变体 4 的 AMD 信息: https://www.amd.com/en/corporate/security-updates#paragraph-290416
US-CERT 警报: https://www.us-cert.gov/ncas/alerts/TA18-141A
针对变体 1、2 和 3 的 Lenovo 公告 LEN-18282 – 借助侧信道读取特权内存:https://support.lenovo.com/us/en/solutions/LEN-18282
VMware 安全公告: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
VMware 知识库起点(VMware“真实来源”): https://kb.vmware.com/kb/54951
要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。
最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。
0 
鎵爜鐧诲綍鏇村畨鍏�