全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處(以下簡(jiǎn)稱(chēng)“信安標(biāo)委秘書(shū)處”)針對(duì)近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞,組織相關(guān)廠商和安全專(zhuān)家,編制發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引》(以下簡(jiǎn)稱(chēng)《防范指引》)。
信安標(biāo)委秘書(shū)處相關(guān)負(fù)責(zé)人表示,熔斷和幽靈漏洞影響范圍覆蓋主流CPU,引發(fā)廣泛的關(guān)注。相關(guān)廠商應(yīng)及時(shí)應(yīng)對(duì),為產(chǎn)品提供必要的技術(shù)支持,有序開(kāi)展補(bǔ)丁升級(jí)工作,引導(dǎo)用戶(hù)提高安全意識(shí),有效控制相關(guān)風(fēng)險(xiǎn),維護(hù)用戶(hù)利益。
據(jù)介紹,本次披露的漏洞屬于芯片級(jí)漏洞,主要影響和風(fēng)險(xiǎn)包括竊取內(nèi)存數(shù)據(jù)、造成敏感信息泄漏等。目前尚未發(fā)現(xiàn)利用上述漏洞針對(duì)個(gè)人用戶(hù)的直接攻擊。
《防范指引》就受熔斷和幽靈漏洞威脅的四類(lèi)典型用戶(hù),包括云服務(wù)提供商、服務(wù)器用戶(hù)、云租戶(hù)、個(gè)人用戶(hù)等,給出了詳細(xì)的防范指引,并提供了部分廠商安全公告和補(bǔ)丁鏈接。其中,云服務(wù)提供商和服務(wù)器用戶(hù)應(yīng)在參考CPU廠商和操作系統(tǒng)廠商建議的基礎(chǔ)上,結(jié)合自身環(huán)境制定升級(jí)方案,綜合考慮安全風(fēng)險(xiǎn)、性能損耗等因素,采取相關(guān)安全措施防范安全風(fēng)險(xiǎn);云租戶(hù)和個(gè)人用戶(hù)應(yīng)及時(shí)關(guān)注云服務(wù)提供商、操作系統(tǒng)廠商、瀏覽器廠商等提供的安全補(bǔ)丁,及時(shí)升級(jí),避免受到漏洞的影響。《防范指引》全文可通過(guò)訪問(wèn)信安標(biāo)委網(wǎng)站獲得(www.tc260.org.cn)
(責(zé)任編輯:蘇玉梅)
