安全公告：通过旁道攻击来读取特权内存-联想乐享知识库

安全公告：通过旁道攻击来读取特权内存 分类:小新系列 问题:漏洞与防护 联想安全公告：LEN-18282 潜在影响：本地运行的恶意代码可能会绕过预先设置的特权级别观察到特权内存的内容。 严重性：高 影响范围：全信息技术行业 CVE标识符： “Spectre” CVE-2017-5753，CVE-2017-5715 “Meltdown” CVE-2017-5754 简要说明： 联想知道被漏洞发现者称为 “Spectre”和“Meltdown”的中央处理器的漏洞。两者都是“旁道”漏洞，它们不直接访问受保护的数据，而是诱使处理器以特定的方式运行，观察其执行时间或其他外部可现的特征来推断受保护的数据。 我们继续与我们的中央处理器和操作系统供应商合作，在我们收到他们的修复程序后加入我们受影响的产品。随着修复程序的发布和新的漏洞信息的出现，联想将频繁更新本页面。请经常检查阅读此页面。 您应该如何保护自己： 有三个相关的漏洞变种。全部需要操作系统更新来解决。其中一个还需要处理器微码更新（请参阅下面的产品影响部分）。 变种1：边界检查旁路（CVE-2017-5753） A、需要操作系统更新 B、某些配置系统需要驱动或者应用软件升级 C、受到“Spectre”漏洞袭击 变种2：分支目标注入（CVE-2017-5715） A、需要处理器微码更新 B、需要操作系统更新 C、某些配置系统需要驱动或者应用软件升级 D、受到“Spectre”漏洞袭击 变体3：强行数据缓存加载（CVE-2017-5754） A、需要操作系统更新 B、受到“Meltdown”漏洞的攻击 我们建议客户尽快更新操作系统和固件。PC 用户点击此处获取最新的操作系统修补程序。 在修补和固件更新之前，您可以遵循常规的安全最佳实践来降低您的安全风险，以防止攻击者在您的系统里运行恶意代码。 例如：限制用户访问只允许已知并可信赖的用户访问; 只安装经过审查的可信赖应用程序; 只访问信誉良好的网站，避免访问有很多突出广告和外来内容的网站; 如果可行，请关闭浏览器中的JavaScript。 产品影响： 杀毒软件阻止微软系统升级：微软公司发现部分杀毒产品阻止它们给系统打补丁，请 点击此处 查看。微软停止了给这些系统打补丁直到这些杀毒软件被升级或者被卸载。请 点击此处 了解如何解决此问题。 NVIDIA GPU 设备驱动：联想已经得到提醒大部分NVIDIA GPUs 也受到CVE-2017-5753 和CVE-2017-5715 (Spectre)的影响。请点击如下 NVIDIA 安全公告获取更多信息： Driver – http://nvidia.custhelp.com/app/answers/detail/a_id/4611 GeForce Experience – http://nvidia.custhelp.com/app/answers/detail/a_id/4610 客户端系统 以下指南专为联想个人计算机（联想个人电脑和智能设备集团）所提供： 撤回CPU微码升级：为处理变种2，Intel提供给了联想的CPU微码升级包，之后联想将其纳入BIOS/UEFI固件。最近，Intel告知其中两个CPU微码升级包有质量问题。这些问题都被标记在产品表格“升级被Intel撤回+标注”栏中，以及以下相关脚注的内容说明。 1 - (Kaby Lake U/Y, U23e, H/S/X) 的症状：当进入系统睡眠（S3）循环期间，间歇性系统当机。如果您已经应用了固件升级并且在睡眠/唤醒状态时经历了系统当机。请将BIOS/UEFI刷回之前的版本，或者关闭睡眠（S3）模式；之后等待新的升级。如果您并没有安装此升级，请直接等待新的固件版本推送。 2 - (Broadwell E)的症状：当系统重起时间歇性的蓝屏。如果您已经应用此升级，Intel建议您继续使用此版本直到新版本推送。如果您并没有安装此升级，请直接等待新的固件版本推送。 请点击以下链接获得更多信息： Desktop Desktop - All In One IdeaPad Tablet ThinkPad ThinkStation 企业级系统 以下指南专为联想企业级（联想数据中心业务集团）所提供： 数据中心业务集团SCA漏洞信息联系地址：如果，通过本公告的咨询，您针对旁道攻击漏洞还有问题和顾虑，以及它们是如何影响您使用的我们的企业级系统产品，请联系：dcgscainfo@lenovo.com。 撤回 Broadwell的CPU微码升级：Intel针对变种2漏洞提供了CPU微码升级，联想将此CPU微码升级集成进了UEFI固件中。但是Intel发现了一个关于Broadwell微码升级包的质量问题，并要求联想停止分发推送受影响的Broadwell升级微码。因此，联想撤回有了有受质量问题的Broadwell升级微码影响的UEFI固件。当Intel修改好微码并推送给联想后我们会尽快集成打包并发布新的UEFI固件升级。受此事影响的服务器已经在表格中被标记：“先前的升级包因为微码质量问题被撤回”。 受Intel告知，客户已经安装以前的升级但没有发现问题的可以继续使用原来的固件升级，无需回滚到之前的版本。 微软Windows服务器更新：Windows服务器解决此旁道攻击漏洞的更新功能是默认关闭的，需要打开后才能获得对应的保护。具体请 点击此处 详细了解。 提示：如果没有安装并启用微软服务器更新功能，即使CPU的微码已修复好的情况下，微软的推测控制验证PowerShell脚本会误报CPU修复微码不存在。 请点击链接获得更多信息。 Converged and ThinkAgile Solutions Hyperscale Networking Switches Server Management Software Storage System x - IBM System x - Lenovo ThinkServer ThinkSystem 受影响的联想产品请点击 这里 其他信息和参考文献： Intel: https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html Google安全博客: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html Google Project Zero 研究室: https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html Google 产品状态: https://support.google.com/faqs/answer/7622138 原创研究: https://meltdownattack.com/ or https://spectreattack.com/ Microsoft: