一、一份预警通报

1月4日，国家信息安全漏洞共享平台收录了CPU处理器内核的Meltdown漏洞（CNVD-2018-00303，对应CVE-2017-5754）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304，对应CVE-2017-5715和CVE-2017-5753）。利用上述漏洞，攻击者可以绕过内存访问的安全隔离机制，使用恶意程序来获取操作系统和其他程序的被保护数据，造成内存敏感信息泄露，该漏洞对互联网安全构成严重威胁。

省厅立即发布了预警通报，要求各重要行业部门和各地公安机关要及时警示本部门、本行业、本辖区网站和系统用户，关注各厂商发布的漏洞修复措施，使用前做好补丁验证、系统备份等工作，在确保安全的前提下及时堵塞漏洞，消除安全隐患，提高安全防范能力，发现系统遭攻击情况后及时报告。

二、漏洞分析报告

现代的计算机处理器（CPU）芯片通常使用“推测执行”（speculative execution）和“分支预测”（Indirect Branch Prediction）技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷，无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开，使得攻击者可以绕过内存访问的安全隔离边界，在内核中读取操作系统和其他程序的内存数据，造成敏感信息泄露。漏洞原理图如下：

具体为：

1）Meltdown(熔毁)漏洞的利用破坏了用户程序和操作系统之间的基本隔离，允许攻击者未授权访问其他程序和操作系统的内存，获取其他程序和操作系统的敏感信息。

2）Spectre(幽灵)漏洞的利用破坏了不同应用程序之间的安全隔离，允许攻击者借助于无错程序（error-free）来获取敏感信息。

三、影响范围

该漏洞存在于英特尔（Intel）x86-64的硬件中，在1995年以后生产的Intel处理器芯片都可能受到影响，包括：

处理器芯片：英特尔为主、ARM、AMD，对其他处理器同样可能存在相关风险；

操作系统：Windows、Linux、macOS、Android；

云服务提供商：亚马逊、微软、谷歌、腾讯云、阿里云以及各种私有云基础设施。

四、应对建议

广大网络用户对本漏洞的有效应对核心是：及时下载补丁对软件和硬件进行更新，及时分析预警信息，对可能演变为严重事件的情况，及时采取应对措施，避免出现网络安全事故。

鉴于该漏洞可以获取完整的内存内容，所以建议相关云设施在完成补丁修复后，应提醒用户修改登陆口令并更新证书。

Linux内核开发人员已经发布了针对Meltdown攻击方式的补丁，详情见：https://lwn.net/Articles/738975/

微软发布了几个更新来缓解这些漏洞，详情见：

https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe

VMware：https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

AMD：https://www.amd.com/en/corporate/speculative-execution

Red Hat：https://access.redhat.com/security/vulnerabilities/speculativeexecution

五、温馨提示

虽然漏洞影响范围广泛，并引起全球关注，但对于普通用户来说，大可不必过于恐慌。

首先，漏洞并不能直接运用于攻击。目前也没有一个稳定通用，同时可以造成明显严重后果（窃取账号密码等）的漏洞利用代码。

其次，对于普通用户而言，打漏洞补丁的性能损失对用户来说是几乎可以忽略不计。只要养成良好的上网习惯，不轻易点击陌生人发来的链接，基本不会受到漏洞影响。

再者，浏览器针对漏洞发布的补丁和缓解措施简单有效，而且不会造成性能下降或兼容性问题，用户可以选择将浏览器升级到最新版本，从而避免受到漏洞攻击。