安全公告：LEN-22133 推理执行侧信道变体相关漏洞-联想乐享知识库

安全公告：LEN-22133 推理执行侧信道变体相关漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-22133 潜在影响：在本地运行的恶意代码可能能够访问特权内存或寄存器中的内容，绕过预期的特权级别 严重性：中 影响范围：全行业 CVE ID： CVE-2018-3639、CVE-2018-3640 摘要描述： Lenovo 的研究人员已经意识到影响某些 Intel、AMD 和名为“变体 4 - 推理存储旁路”和“变体 3a - Rogue 系统寄存器读取”的其他处理器的漏洞。这两种都是“侧信道”漏洞，即他们不会直接访问受保护的数据，但是会引导处理器以特定的方式运行，并观察执行时间或其他外部可见的特征，用于推断受保护的数据。解决方案: 应采取哪些措施进行自我保护： 一月披露的同一侧信道攻击（变体 1 CVE-2017-5753、变体 2 CVE-2017-5715 和变体 3 CVE-2017-5754）系列中有两种新漏洞变体。Intel 等处理器制造商正在进行 BIOS 微代码更新以便应对变体 4 和 3a。建议这些缓解措施推出后尽快更新浏览器、操作系统和 BIOS。 变体 4：推理存储旁路（CVE-2018-3639） · 更新 BIOS · 更新操作系统 · 更新应用程序 变体 3a：Rogue 寄存器加载（CVE-2018-3640​） · 更新 BIOS 在验证修复程序或出现新信息后我们会不断地更新此页面。请时常进行查看。 进行修补和固件更新前，可以通过遵循常用的安全最佳实践降低风险，避免攻击者在您系统本地运行代码。例如：只允许已知和受信任的用户进行访问；仅安装受过正常审查的受信任的应用程序；只访问声誉良好、显眼广告和取自其他资源内容最少的网站；如果可行，关闭浏览器的 JavaScript。 产品影响： 客户端： 台式机 Desktop - All in One IdeaPad - 更新即将可用 ThinkPad ThinkStation 企业： Converged 和 ThinkAgile 解决方案 HPC 存储解决方案 Hyperscale 智能集群 网络交换机 服务器管理软件 存储器 System x -Lenovo System x（IBM） ThinkServer ThinkSystem 参考资料： Intel 安全公告 INTEL-SA-00115： https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html 研究员披露的变体 4： https://bugs.chromium.org/p/project-zero/issues/detail?id=1528 适用于推理存储旁路（CVE-2018-3639）的 Microsoft 指南： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012 适用于 Rogue 系统寄存器读取（CVE-2018-3640）的 Microsoft 指南：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013 Microsoft 安全研究和防护博客： https://aka.ms/sescsrdssb ARM 披露的变体 3a： https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability 有关变体 4 的 AMD 信息： https://www.amd.com/en/corporate/security-updates#paragraph-290416 US-CERT 警报： https://www.us-cert.gov/ncas/alerts/TA18-141A 针对变体 1、2 和 3 的 Lenovo 公告 LEN-18282 – 借助侧信道读取特权内存：https://support.lenovo.com/us/en/solutions/LEN-18282 VMware 安全公告： https://www.vmware.com/security/advisories/VMSA-2018-0012.html VMware 知识库起点（VMware“真实来源”）： https://kb.vmware.com/kb/54951 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。