移动设备网络代码 处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵

原标题：处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵) FAQ

在安天1月4日和1月5日分别就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》[2]之后，有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题，针对此类形成了本FAQ。

一、关于Meltdown(熔毁)和Spectre(幽灵)漏洞相关的背景知识

Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞，将其命名为Meltdown和Spectre。

1.Meltdown(熔毁)

Meltdown破坏了位于用户和操作系统之间的基本隔离，允许恶意代码访问主机任意内存，从而窃取其他应用程序以及操作系统内核的敏感信息。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存，从而造成数据泄露。

2.Spectre(幽灵)

Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行（speculative execution），这是一种优化技术，处理器会推测在未来可能执行的指令并预执行。这种技术的目的在于提前准备好计算结果，当这些数据被需要时可立即使用，以提升系统运行效率。内在的原因是CPU的运行速度大大快于内存的读取速度。在此过程中，英特尔等CPU没有很好地将低权限的应用程序与访问内核内存分开，这意味着攻击者可以使用恶意应用程序来获取应该被隔离的用户级私有数据。

二、关于Meltdown(熔毁)和Spectre(幽灵)漏洞的威胁和影响范围

2018年1月4日，国家信息安全漏洞共享平台CNVD发布Meltdown漏洞（CNVD-2018-00303，对应CVE-2017-5754）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304，对应CVE-2017-5715和CVE-2017-5753）安全公告，CNVD对该漏洞的综合评级为“高危”。该漏洞存在于英特尔（Intel）x86-64的硬件中，在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响[1]。

2018年1月4日 23时，安天发布了A级漏洞风险通告，并提醒该漏洞可能演化为针对云和信息基础设施的A级网络安全灾难[2]。

1、相关漏洞只能读取数据，为什么安天将其定性为A级漏洞。

相关漏洞本身只能读取数据，不能修改数据，但由于其获取的数据中有可能包括口令、证书和其他敏感数据，将带来横向移动攻击作业能力，包括能够完整Dump内存镜像，意味着可以获取所有打开的文件和信息，因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。攻击者尽管并未实现直接从虚拟化节点到物理机的逃逸，但攻击者窃密的目的可能已经达成，包括获取到一些认证凭证后，还可以进行后续横向移动，而这种攻击对原有云的安全监测机制几乎无感，因此其对云基础设施、包括私有云，危害极大。

2、漏洞利用难度如何？

答： 漏洞利用难度很低。第一，相关漏洞已有成熟PoC代码流出，对于已公开的PoC代码，安天分析工程师已在Intel处理器的对各环境下测试验证其有效性。实验数据证明，已公开PoC可被用于获取当前进程内存数据。因此在云场景下该漏洞利用难度极低，由于云服务是可攻击面极宽，攻击者不仅较容易攻入云内有弱点的虚拟机，甚至可能直接租用主机，来运行PoC程序，通过CPU缓存获取整个物理主机的内存数据

相关漏洞对桌面用户可以实现基于浏览器等入口的组合攻击，绕过浏览器现有安全机制，获取系统内核数据，其里利用难度大于对云端的攻击。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-58755-1.html