安全研究人员在Project Zero上发布了一个名为 Spectre 和 Meltdown 的新漏洞,允许程序从其他程序的内存中窃取信息。它影响 Intel、AMD 和 ARM 架构。
可以通过访问 JavaScript 网站远程利用此漏洞。技术细节上可以找到redhat的网站,Ubuntu的安全团队。
通过推测执行侧通道攻击(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754 aka Spectre 和 Meltdown)导致的信息泄漏
发现一类新的旁道攻击会影响大多数处理器,包括来自 Intel、AMD 和 ARM 的处理器。该攻击允许恶意用户空间进程读取内核内存,并允许来宾中的恶意代码读取管理程序内存。为了解决这个问题,需要更新 Ubuntu 内核和处理器微码。这些更新一旦可用,将在未来的 Ubuntu 安全通知中公布。
作为概念验证,编写的 JavaScript 代码在 Google Chrome 浏览器中运行时,允许 JavaScript 从其运行的进程中读取私有内存。
我的系统似乎受到了幽灵漏洞的影响。我已经编译并执行了这个概念验证 ( spectre.c)。
系统信息:
$ uname -a
4.13.0-0.bpo.1-amd64 #1 SMP Debian 4.13.13-1~bpo9+1 (2017-11-22) x86_64 GNU/Linux
$ cat /proc/cpuinfo
model name : Intel(R) Core(TM) i3-3217U CPU @ 1.80GHz
$gcc --version
gcc (Debian 6.3.0-18) 6.3.0 20170516
如何缓解 Linux …