Lenovo 安全公告：LEN-24163

潜在影响：在本地运行的恶意代码可能能够访问特权内存中的内容，绕过预期的特权级别

严重性：高

影响范围：全行业

CVE ID：CVE-2018-3615、CVE-2018-3620、CVE-2018-3646

摘要描述：

Intel 已告知 Lenovo 统称为“L1 Terminal Fault”的漏洞会影响特定的 Intel 处理器。Lenovo 已在 LEN-22133 下发布新的 BIOS 以解决这些漏洞，因为当时 Intel 在某累积性微码更新中包含了针对 L1 Terminal Fault 的修复程序。此公告目的在于披露 L1 Terminal Fault 漏洞并为您提供自我保护的其他操作建议。

应采取哪些措施进行自我保护：

有三种漏洞变体，分别攻击处理器体系结构的不同的次组件。

CVE-2018-3615 影响 SGX 私有内存区

• 根据 LEN-22133 更新 BIOS


• 更新 OS


• 请参阅 Intel 的公告和参考资料，获取有关 TCB 重置和 SGX 应用认证的额外指导

CVE-2018-3620 影响 OS 和 SMM（系统管理模式）

• 根据 LEN-22133 更新 BIOS


• 更新 OS

CVE-2018-3646 影响 VMM（虚拟机管理器）

• 根据 LEN-22133 更新 BIOS


• 更新主机 OS（如果适用）


• 更新 VMM


• 更新客户端 OS（如果可能）


• 对于使用 Windows Server 2016+ 或 VMware ESXi/vSphere/裸机虚拟机监控程序的客户，启用 VMM 调度程序增强功能或始终启用超线程。


• 对于所有其他客户，Intel 建议您在确信最终共享一个处理器内核的所有客户端虚拟机都已应用 OS 缓解措施的情况下始终启用超线程。但是，如果存在未缓解漏洞的虚拟机，应考虑禁用超线程以防止虚拟机对虚拟机攻击。这种情况在 VMM 未更新以提供替代隔离方式的多租户 IaaS 公有和私有云服务器环境中最可能出现。

产品影响：

LEN-22133 产品影响声明也适用于这种情况，仅限于 Intel“Core”和“Xeon”子品牌的处理器。Intel“Atom”子品牌的处理器不受影响。请参阅此页面，了解确定您的处理器子品牌的步骤。