<原文见https://blogs.technet.microsoft.com/gcrsec/2018/01/04/cpu_microcode_vul>
各位新年好!2018年的首个重要安全公告是影响CPU 和操作系统的 ――“猜测执行边信道攻击安全漏洞”。这类漏洞刚被公开披露。它们影响了整个行业、多个厂商的不同硬件(Intel, AMD和ARM)、软件(windows, linux,Android, Chrome, iOS, Mac OS)等 。
微软作为行业重要一员,一直以来始终把用户安全放在首位。我们积极展开研究开发工作,并以最快速度推出缓解漏洞影响的各种安全更新。这些更新除了修复针对本地计算平台,也对云平台(Azure, Office 365, Dynamic等)做了相应修复处理。
微软安全通告北京时间今早(第一时间)发布。
ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
中文链接: https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
英文链接: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
CVE-2017-5715 - Bounds check bypass CVE-2017-5753 - Branch target injection CVE-2017-5754 - Rogue data cache load对应的安全漏洞、受到影响的产品(包括物理机和虚拟机),是否已经观测到活跃的攻击,这些信息都在上述安全通告中得到发布。
这里我们提请大家注意,因为这个安全问题影响到硬件,因此是否需要升级固件,请大家一定要关注对应硬件厂商的官方准确信息。仅仅完成软件修复并不完整。
对于安全修复潜在的性能影响,我们恳请大家不要因为潜在的性能影响而无视安全。尤其对企业用户,请有计划地测试。如果发现问题,及时联络软硬件厂商研究解决。
