1月4日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了CPU處理器內(nèi)核的Meltdown漏洞（CNVD-2018-00303）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304）。利用上述漏洞，攻擊者可以繞過內(nèi)存訪問的安全隔離機(jī)制，使用惡意程序來獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù)，造成內(nèi)存敏感信息泄露。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

1月5日上午，上海市網(wǎng)信辦向本市各關(guān)鍵信息基礎(chǔ)設(shè)施主管和運(yùn)營單位發(fā)出預(yù)警通報(bào)，要求各單位啟動(dòng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并采取應(yīng)對(duì)措施。

上海市網(wǎng)信辦提醒廣大互聯(lián)網(wǎng)用戶注意：從目前了解情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。包括以英特爾為主，ARM、AMD等大部分主流處理器芯片；Windows、Linux、macOS、Android等主流操作系統(tǒng)都受上述漏洞的影響，尤其以英特爾的芯片受上述漏洞影響最為嚴(yán)重。相應(yīng)的，采用這些芯片和操作系統(tǒng)的公有云服務(wù)提供商，私有云、電子政務(wù)云等基礎(chǔ)設(shè)施，廣大終端用戶，都有可能遭遇利用上述漏洞機(jī)理發(fā)起的組合攻擊。特別需要強(qiáng)調(diào)的是，上述漏洞對(duì)云計(jì)算基礎(chǔ)設(shè)施的影響是尤為嚴(yán)重的。

應(yīng)急處置措施：

從市網(wǎng)信辦所掌握的情況來，該漏洞幾乎覆蓋本市全部連接互聯(lián)網(wǎng)的關(guān)鍵信息基礎(chǔ)設(shè)施。市網(wǎng)信辦接到漏洞通報(bào)后立即啟動(dòng)應(yīng)急預(yù)案，已向本市各關(guān)鍵信息基礎(chǔ)設(shè)施主管和運(yùn)營單位發(fā)出預(yù)警通報(bào)，要求各單位啟動(dòng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并采取以下應(yīng)對(duì)措施：

一是密切跟蹤該漏洞的最新情況，及時(shí)評(píng)估漏洞對(duì)本單位系統(tǒng)的影響。

二是對(duì)芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試，在做好全面審慎的評(píng)估工作基礎(chǔ)上，制定修復(fù)工作計(jì)劃，及時(shí)安裝。

目前，操作系統(tǒng)廠商已經(jīng)發(fā)布補(bǔ)丁更新，如Linux, Apple和Android，微軟也已發(fā)布補(bǔ)丁更新。CNVD建議用戶及時(shí)下載補(bǔ)丁進(jìn)行更新，參考鏈接：

Linux：http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw

Android：https://source.android.com/security/bulletin/2018-01-01

Microsoft：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon：https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM：https://developer.arm.com/support/security-update

Google：https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

Intel：https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Red Hat：https://access.redhat.com/security/vulnerabilities/speculativeexecution

Nvidia：https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/

Xen：https://xenbits.xen.org/xsa/advisory-254.html

三是進(jìn)一步加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)工作，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)和威脅情報(bào)收集工作，發(fā)生網(wǎng)絡(luò)安全事件及時(shí)向市網(wǎng)信辦報(bào)告。

上海市網(wǎng)信辦將持續(xù)關(guān)注該漏洞的發(fā)展情況并酌情采取進(jìn)一步的應(yīng)對(duì)措施。