英特尔MDS漏洞后续 苹果、微软、亚马逊等12家厂商通知都在这！

  这两日，英特尔芯片又出事了。来自多所大学和安全公司的研究人员，他们发现英特尔CPU中存在投机执行侧通道漏洞，该漏洞被称为微架构数据采样——MDS攻击。与之前发现的“幽灵”和“熔毁”漏洞不同，MDS漏洞更危险。

  目前，英特尔已经发布微码(MCU)更新，通过在CPU跨越安全边界时清除缓冲区中的所有数据，来修复硬件和软件中的MDS漏洞。

  同时，包括亚马逊、苹果、微软、联想等均发布通知、补丁或更新：

  亚马逊AWS

  亚马逊发布了一份公告，称已经为它们的EC2主机硬件部署了缓解措施，并为亚马逊Linux AMI提供了更新的内核和微代码包。

  “AWS已经设计并实施了可以防范这些类型的错误基础设施，并为MDS部署了额外的保护措施。所有EC2主机基础架构都已经使用这些新的保护措施进行了更新，基础架构层面无需客户采取行动。

  Amazon Linux AMI 2018.03和Amazon Linux 2的更新内核和微代码软件包可在相应的存储库(ALAS-2019-1205)中找到。作为一般安全性最佳实践，我们建议客户修补其操作系统或软件，因为相关补丁可用于解决新出现的问题。”

  苹果

  苹果公司发布了两个与新MDS漏洞相关的建议。

  第一个建议指出，已经为macOS Mojave 10.14.5发布了安全更新，以防止对Intel CPU的推测性执行攻击。

  苹果公司此前发布安全更新，来防范一系列影响基于ARM和Intel CPU的设备的推测性执行漏洞。英特尔公布了其他Spectre漏洞，称为微架构数据采样(MDS)，适用于采用Intel CPU的台式机和笔记本电脑，包括所有现代Mac电脑。

  不幸的是，由于缺少更新的Intel微代码，有许多Mac型号不支持这些修复。用户可以在咨询中找到不受支持 的模型列表。

  第二个建议解释了用户如何为macOS Mojave、High Sierra和Sierra的微架构数据采样(MDS)漏洞启用完全缓解措施。但是，按照这些步骤，你将需要禁用超线程，从而让性能降低多达40%。

  完全缓解(包括禁用超线程)可防止跨线程的信息泄漏以及内核和用户空间之间的转换，这与本地和远程(Web)攻击的MDS漏洞相关。

  苹果于2019年5月进行的测试显示，包括多线程工作负载和公共基准测试在内的测试性能降低了40%。性能测试使用特定的Mac计算机进行。实际结果将根据型号、配置、使用情况和其他因素而有所不同。

  Citrix思杰

  Citrix发布了一份建议，声明用户需要为其处理器安装最新的微码，安装正在使用的Citrix软件更新，并禁用超线程以完全修复这些漏洞。

  对于具有易受攻击的CPU系统，完全缓解这些问题需要以下所有方法：

  1.Citrix Hypervisor的更新

  2.更新CPU微码

  3.禁用CPU超线程(也称为同时多线程)

  Chromium

  Chromium开发团队发布了一份咨询报告，称他们调查是否可以在浏览器中引入MDS漏洞缓解，但决定用户应该依赖操作系统安全更新。

  “Chromium团队调查了Chrome可以独立于操作系统采取各种缓解措施，但没有一个是足够完整或高效的。用户应该在操作系统层级采取措施，缓解状况。”

  谷歌

  Google还发布了一份通报，提供有关这些漏洞影响Google服务或平台的信息。

  以下是他们对一些更常用服务的回应：

  Google基础架构：“运行Google产品(例如，搜索、YouTube、Google广告产品、地图、Blogger和其他服务)以及存储客户数据的基础架构可以抵御已知攻击。”

  Android：“绝大多数Android设备都不受影响，因为这些问题仅限于某些基于Intel的系统。”对于使用英特尔基础架构的设备，您应该咨询该通报。”

  谷歌Chrome OS(Chromebook等)：“谷歌默认在Chrome OS 74及更高版本上禁用了超线程。Chrome OS 75将包含额外的缓解措施。”

  Google Apps / G Suite：请参阅有关其每项服务的各种信息的建议。

  用户可以在他们的咨询中找到他们的服务和缓解状况的完整列表。

  英特尔

  英特尔发布了一份公告，解释这些漏洞如何工作，可以使用的缓解措施以及这些缓解措施对性能的影响，特别是通过禁用超线程。

  联想：

  联想已经发布了ThinkPad P1和ThinkPad X1 Extreme笔记本电脑的BIOS更新。

  根据更改日志，解决了以下漏洞：

  [重要更新]

  增强解决安全漏洞CVE-2018-12126，

  (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12126)

  预计将于05/14/2019发布。

  增强解决安全漏洞CVE-2018-12127，

  (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12127)

  预计将于05/14/2019发布。

  增强解决安全漏洞CVE-2018-12130，

  (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12130)

  预计将于05/14/2019发布。

  微软

  微软发布了两条提供有关如何缓解这些漏洞的信息建议。Windows客户端和服务器都需要安装最新的微代码更新，Windows安全更新，并可能配置各种Windows注册表项。

  有关如何做的更多信息，请参阅以下建议：

  ADV190013 | Microsoft指导减轻微架构数据采样漏洞

  Windows指导，以防止投机执行侧通道漏洞

  遗憾的是，微代码更新不适用于以下Windows版本，包括Windows 10版本1809，并将在以后发布：

  适用于基于x64的系统的Windows 10版本1803

  Windows Server，版本1803(服务器核心安装)

  适用于基于x64的系统的Windows 10版本1809

  Windows Server 2019

  Windows Server 2019(服务器核心安装)

  正如其他供应商所说，“为了得到充分保护，客户可能还需要禁用超线程(也称为同时多线程(SMT))”

  红帽Redhat

  红帽发布了一份建议，声明必须为您的CPU安装最新的微代码，升级固件并升级内核。必须再次禁用超线程以完全修复漏洞。

  “应用补丁的顺序并不重要，但在更新固件和虚拟机管理程序后，每个系统/虚拟机都需要关机并重新启动以识别新的硬件类型。”

  SUSE

  SUSE发布了一条公告，但它没有太多信息。

  Ubuntu

  Ubuntu发布了一份通报，解释用户必须安装微代码更新和更新的内核才能缓解这些漏洞。但是，即使安装了这些漏洞，解决这些漏洞的唯一真正方法是禁用超线程。

  “如果系统用于执行不受信任或潜在的恶意代码，Ubuntu建议在受影响的系统上禁用超线程。”

  VMWare

  VMWare发布了一份包含其产品已知更新的通报。

  “vCenter Server、ESXi、工作站和Fusion更新包括针对MDS漏洞的特定管理程序的缓解措施。VMware已将这些问题的严重性评估为处于中等严重性范围内，最大CVSSv3基本得分为6.5。”