本帖最后由 l.xuyang 于 2018-1-5 14:46 编辑
近日披露了英特尔处理器的一项安全漏洞,此漏洞涉及从数据中心应用程序到JavaScript支撑的Web浏览器,影响范围较为大,漏洞利用了该类处理器存在一个底层设计缺陷,通过分支预测对分支目标进行预测并使处理器在条件分支判断之前预先执行分支跳转后的指令序列,而处理器的L1数据Cache在分支预测后也会相应对预测执行中访问到的数据分配Cache Line,在特定条件下,攻击者可以绕开边界检查从而窃取敏感空间(如内核)中被保护的内存区域数据从而造成数据信息泄露。该漏洞暂时无法使用microcode修复,只能进行操作系统级的修复,系统级的修复会带来较大的性能开销。 银河麒麟操作系统具有基于标记的执行控制机制,实现对应用程序的合法性和完整性标记,确保只有合法且完整的动态链接库、可执行程序及内核模块才允许加载和执行,严格限制非法应用程序的加载执行权限,增加该漏洞的利用难度。针对英特尔处理器平台,银河麒麟操作系统正在进行漏洞修复,将内核空间与用户空间使用的内核页表进行了隔离,确保用户态应用程序的访问隔离,但该修复补丁将对性能有较大影响,预计执行性能会降低5%至30%。针对用户的不同应用场景,系统提供了针对此漏洞的内核开关供用户自行配置。 同时搭载了银河麒麟操作系统的飞腾处理器暂时不受到该漏洞影响,针对该平台,银河麒麟操作系统同时通过此漏洞补丁更新和用户态应用程序越权访问权限限制进行安全加固,后续我们将持续关注该问题,确保给客户提供安全可靠的系统。
受影响银河麒麟版本: 银河麒麟云平台软件 银河麒麟桌面操作系统(标准版) 银河麒麟服务器操作系统(标准版)
受影响的CPU类型: 六代酷睿Skylake、七代酷睿Kaby Lake、八代酷睿Coffee Lake系列 Xeon E3-1200 v5/v6系列 Xeon Scalable系列 Xeon W系列 Atom C3000系列 Apollo Lake Atom E3900系列 Apollo Lake奔腾系列 赛扬N/J系列
CVE漏洞: CVE-2017-5753 CVE-2017-5715 CVE-2017-5754
| 
