英特爾MDS漏洞後續 蘋果、微軟、亞馬遜等12家廠商通知都在這！

這兩日，英特爾晶元又出事了。來自多所大學和安全公司的研究人員，他們發現英特爾CPU中存在投機執行側通道漏洞，該漏洞被稱為微架構數據採樣——MDS攻擊。與之前發現的「幽靈」和「熔毀」漏洞不同，MDS漏洞更危險。

目前，英特爾已經發布微碼(MCU)更新，通過在CPU跨越安全邊界時清除緩衝區中的所有數據，來修復硬體和軟體中的MDS漏洞。

同時，包括亞馬遜、蘋果、微軟、聯想等均發布通知、補丁或更新：

亞馬遜AWS

亞馬遜發布了一份公告，稱已經為它們的EC2主機硬體部署了緩解措施，並為亞馬遜Linux AMI提供了更新的內核和微代碼包。

「AWS已經設計並實施了可以防範這些類型的錯誤基礎設施，並為MDS部署了額外的保護措施。所有EC2主機基礎架構都已經使用這些新的保護措施進行了更新，基礎架構層面無需客戶採取行動。

Amazon Linux AMI 2018.03和Amazon Linux 2的更新內核和微代碼軟體包可在相應的存儲庫(ALAS-2019-1205)中找到。作為一般安全性最佳實踐，我們建議客戶修補其操作系統或軟體，因為相關補丁可用於解決新出現的問題。」

蘋果

蘋果公司發布了兩個與新MDS漏洞相關的建議。

第一個建議指出，已經為macOS Mojave 10.14.5發布了安全更新，以防止對Intel CPU的推測性執行攻擊。

蘋果公司此前發布安全更新，來防範一系列影響基於ARM和Intel CPU的設備的推測性執行漏洞。英特爾公布了其他Spectre漏洞，稱為微架構數據採樣(MDS)，適用於採用Intel CPU的台式機和筆記本電腦，包括所有現代Mac電腦。

不幸的是，由於缺少更新的Intel微代碼，有許多Mac型號不支持這些修復。用戶可以在諮詢中找到不受支持 的模型列表。

第二個建議解釋了用戶如何為macOS Mojave、High Sierra和Sierra的微架構數據採樣(MDS)漏洞啟用完全緩解措施。但是，按照這些步驟，你將需要禁用超線程，從而讓性能降低多達40%。

完全緩解(包括禁用超線程)可防止跨線程的信息泄漏以及內核和用戶空間之間的轉換，這與本地和遠程(Web)攻擊的MDS漏洞相關。

蘋果於2019年5月進行的測試顯示，包括多線程工作負載和公共基準測試在內的測試性能降低了40%。性能測試使用特定的Mac計算機進行。實際結果將根據型號、配置、使用情況和其他因素而有所不同。

Citrix思傑

Citrix發布了一份建議，聲明用戶需要為其處理器安裝最新的微碼，安裝正在使用的Citrix軟體更新，並禁用超線程以完全修復這些漏洞。

對於具有易受攻擊的CPU系統，完全緩解這些問題需要以下所有方法：

1.Citrix Hypervisor的更新

2.更新CPU微碼

3.禁用CPU超線程(也稱為同時多線程)

Chromium

Chromium開發團隊發布了一份諮詢報告，稱他們調查是否可以在瀏覽器中引入MDS漏洞緩解，但決定用戶應該依賴操作系統安全更新。

「Chromium團隊調查了Chrome可以獨立於操作系統採取各種緩解措施，但沒有一個是足夠完整或高效的。用戶應該在操作系統層級採取措施，緩解狀況。」

谷歌

Google還發布了一份通報，提供有關這些漏洞影響Google服務或平台的信息。

以下是他們對一些更常用服務的回應：

Google基礎架構：「運行Google產品(例如，搜索、YouTube、Google廣告產品、地圖、Blogger和其他服務)以及存儲客戶數據的基礎架構可以抵禦已知攻擊。」

Android：「絕大多數Android設備都不受影響，因為這些問題僅限於某些基於Intel的系統。」對於使用英特爾基礎架構的設備，您應該諮詢該通報。」

谷歌Chrome OS(Chromebook等)：「谷歌默認在Chrome OS 74及更高版本上禁用了超線程。Chrome OS 75將包含額外的緩解措施。」

Google Apps / G Suite：請參閱有關其每項服務的各種信息的建議。

用戶可以在他們的諮詢中找到他們的服務和緩解狀況的完整列表。

英特爾

英特爾發布了一份公告，解釋這些漏洞如何工作，可以使用的緩解措施以及這些緩解措施對性能的影響，特別是通過禁用超線程。

聯想：

聯想已經發布了ThinkPad P1和ThinkPad X1 Extreme筆記本電腦的BIOS更新。

根據更改日誌，解決了以下漏洞：

[重要更新]

增強解決安全漏洞CVE-2018-12126，

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12126)

預計將於05/14/2019發布。

增強解決安全漏洞CVE-2018-12127，

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12127)

預計將於05/14/2019發布。

增強解決安全漏洞CVE-2018-12130，

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12130)

預計將於05/14/2019發布。

微軟

微軟發布了兩條提供有關如何緩解這些漏洞的信息建議。Windows客戶端和伺服器都需要安裝最新的微代碼更新，Windows安全更新，並可能配置各種Windows註冊表項。

有關如何做的更多信息，請參閱以下建議：

ADV190013 | Microsoft指導減輕微架構數據採樣漏洞

Windows指導，以防止投機執行側通道漏洞

遺憾的是，微代碼更新不適用於以下Windows版本，包括Windows 10版本1809，並將在以後發布：

適用於基於x64的系統的Windows 10版本1803

Windows Server，版本1803(伺服器核心安裝)

適用於基於x64的系統的Windows 10版本1809

Windows Server 2019

Windows Server 2019(伺服器核心安裝)

正如其他供應商所說，「為了得到充分保護，客戶可能還需要禁用超線程(也稱為同時多線程(SMT))」

紅帽Redhat

紅帽發布了一份建議，聲明必須為您的CPU安裝最新的微代碼，升級固件並升級內核。必須再次禁用超線程以完全修復漏洞。

「應用補丁的順序並不重要，但在更新固件和虛擬機管理程序後，每個系統/虛擬機都需要關機並重新啟動以識別新的硬體類型。」

SUSE

SUSE發布了一條公告，但它沒有太多信息。

Ubuntu

Ubuntu發布了一份通報，解釋用戶必須安裝微代碼更新和更新的內核才能緩解這些漏洞。但是，即使安裝了這些漏洞，解決這些漏洞的唯一真正方法是禁用超線程。

「如果系統用於執行不受信任或潛在的惡意代碼，Ubuntu建議在受影響的系統上禁用超線程。」

VMWare

VMWare發布了一份包含其產品已知更新的通報。

「vCenter Server、ESXi、工作站和Fusion更新包括針對MDS漏洞的特定管理程序的緩解措施。VMware已將這些問題的嚴重性評估為處於中等嚴重性範圍內，最大CVSSv3基本得分為6.5。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！