各位新年好!2018年的首个重要安全新闻是影响中央处理器和操作系统的漏洞——“推测执行旁路攻击”。这个漏洞几天前刚刚被公开披露。它影响了整个行业多个厂商的不同硬件(Intel, AMD和ARM)、软件(Windows, Linux, Android, Chrome, iOS, Mac OS) 。
微软作为行业重要一员,我们一直以来将用户安全放在首位。对此我们也积极展开了研究并推出缓解漏洞影响的各种更新。这些修复除了针对本地平台,也对云平台(Azure, Office 365, Dynamic等)做了相应处理。
我们官方的安全通告北京时间今早刚刚发布。
ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- CVE-2017-5715 - Bounds check bypass
- CVE-2017-5753 - Branch target injection
- CVE-2017-5754 - Rogue data cache load
对应的漏洞、影响的产品(包括物理机和虚拟机),是否观测到活跃的攻击,这些信息都在上述安全通告中发布。
这里我们提请大家注意,因为这个问题影响到了硬件,因而是否需要固件升级,大家一定要关注对应厂商的官方准确信息。仅仅完成软件修复并不完整。
对于传说中修复会影响性能,我们恳请大家不要因为潜在风险而无视安全。尤其企业用户,请有计划地测试。如果发现问题,及时联络软硬件厂商来研究解决。