近日,360网路安全响应中心发布了Meltdown与Spectre两组CPU特点漏洞的安全公告。公告强调:这两组漏洞会导致CPU运作机制上的用户信息泄漏,近20年的Intel,AMD,Qualcomm厂家和其它ARM的处理器均有影响。鉴于漏洞风险等级严重,360浏览器迅速升级防护功能linux安装360浏览器,成为首款就能防御该系列CPU漏洞的国产浏览器。。
恶意网页功击CPU漏洞可泄露用户信息
根据公告描述,这次曝出的两组CPU漏洞会导致CPU运作机制上的信息泄漏,低权级的功击者可以通过漏洞来远程泄漏(浏览器方式)用户信息或本地泄漏更高权级的显存信息。
在实际功击场景中,功击者可以通过这两组漏洞盗取本地操作系统底层运作信息,秘钥信息等。这种信息泄漏后,本地计算机的内核和虚拟超级管理器的隔离防护便形同虚设。功击者还可以通过浏览器获取用户的账号、密码、内容、邮箱、cookie等隐私信息linux服务器维护,用户使用云服务时登记的隐私信息也有可能因这两组漏洞窃取。
如临大敌!主流浏览器紧急上线防御工事
这次CPU漏洞殃及范围不堪称不广。漏洞曝出后,包括Linux,Windows,OSX等在内的操作系统平台都参与了修补,美国的Firefox,Chrome,Edge等浏览器也发布了相关的安全公告和减轻方案,360浏览器也第一时间推出升级版本,成为国外首款支持防御CPU漏洞的浏览器产品。
要封堵这项漏洞,基本的思路还是针对访问显存、预测执行功能动手。360浏览器新版通过限制相关API和机制linux安装360浏览器linux c,避免黑客借助这系列CPU漏洞进行功击,因而大幅度降低了黑客借助CPU漏洞的难度,但是对用户使用基本不会形成负面影响,黑客也难以功击CPU漏洞盗取用户隐私数据。
为了全面抵挡CPU漏洞带来的安全危机,网路安全专家提醒:
1、升级最新的操作系统和虚拟化软件补丁:目前谷歌、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以制止这种漏洞被借助;
2、升级最新的浏览器补丁,使用最新版360浏览器防御漏洞;
3、等待或要求云服务商及时更新虚拟化系统补丁;
4、安装360安全卫士、360手机卫士等专业安全软件,第一时间发觉可能的借助那些漏洞的功击程序并进行查杀及防护。