Udostępnij za pośrednictwem


CPU微码安全漏洞 (Vulnerability in CPU Microcode)

各位新年好!2018年的首个重要安全公告是影响CPU和操作系统的——“猜测执行边信道攻击安全漏洞”。这类漏洞刚被公开披露。它们影响了整个行业、多个厂商的不同硬件(Intel, AMD和ARM)、软件(Windows, Linux, Android, Chrome, iOS, Mac OS)等 。

微软作为行业重要一员,一直以来始终把用户安全放在首位。我们积极展开研究开发工作,并以最快速度推出缓解漏洞影响的各种安全更新。这些更新除了修复针对本地计算平台,也对云平台(Azure, Office 365, Dynamic等)做了相应修复处理。

微软安全通告北京时间今早(第一时间)发布。

ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure

中文链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002

英文链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

  • CVE-2017-5715 - Bounds check bypass
  • CVE-2017-5753 - Branch target injection
  • CVE-2017-5754 - Rogue data cache load

对应的安全漏洞、受到影响的产品(包括物理机和虚拟机),是否已经观测到活跃的攻击,这些信息都在上述安全通告中得到发布。

这里我们提请大家注意,因为这个安全问题影响到硬件,因此是否需要升级固件,请大家一定要关注对应硬件厂商的官方准确信息。仅仅完成软件修复并不完整。

对于安全修复潜在的性能影响,我们恳请大家不要因为潜在的性能影响而无视安全。尤其对企业用户,请有计划地测试。如果发现问题,及时联络软硬件厂商研究解决。