CPU漏洞暗藏杀机 360浏览器出招防御 _网络 安全 _光明网


CPU漏洞暗藏杀机 360浏览器出招防御

2018-01-08 11:28 来源:中国网 
2018-01-08 11:28:34来源:中国网作者:责任编辑:赵艳艳

  日前,360网络安全响应中心发布了Meltdown与Spectre两组CPU特性漏洞的安全公告。公告指出:这两组漏洞会造成CPU运作机制上的用户信息泄露,近20年的Intel, AMD, Qualcomm厂家和其它ARM的处理器均有影响。鉴于漏洞风险等级严重,360浏览器迅速升级防护功能,成为首款能够防御该系列CPU漏洞的国产浏览器。。

  恶意网页攻击CPU漏洞可窃取用户信息

  按照公告描述,此次爆出的两组CPU漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露(浏览器形式)用户信息或本地泄露更高权级的内存信息。

  在实际攻击场景中,攻击者可以通过这两组漏洞窃取本地操作系统底层运作信息,密钥信息等。这些信息泄露后,本地计算机的内核和虚拟超级管理器的隔离防护便形同虚设。攻击者还可以通过浏览器获取用户的帐号、密码、内容、邮箱、 cookie等隐私信息,用户使用云服务时登记的隐私信息也有可能因这两组漏洞泄露。

image.png

  如临大敌!主流浏览器紧急上线防御工事

  此次CPU漏洞波及范围不可谓不广。漏洞爆出后,包括Linux, Windows, OSX等在内的操作系统平台都参与了修复,国外的Firefox, Chrome, Edge等浏览器也发布了相关的安全公告和缓解方案,360浏览器也第一时间推出升级版本,成为国内首款支持防御CPU漏洞的浏览器产品。

  要封堵这项漏洞,基本的思路还是针对访问内存、预测执行功能动手。360浏览器新版通过限制相关API和机制,防止黑客利用这系列CPU漏洞进行攻击,从而大幅度增加了黑客利用CPU漏洞的难度,并且对用户使用基本不会产生负面影响,黑客也无法攻击CPU漏洞窃取用户隐私数据。

  为了全面抵御CPU漏洞带来的安全危机,网络安全专家提醒:

  1、升级最新的操作系统和虚拟化软件补丁:目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以阻止这些漏洞被利用;

  2、升级最新的浏览器补丁,使用最新版360浏览器防御漏洞;

  3、等待或要求云服务商及时更新虚拟化系统补丁;

  4、安装360安全卫士、360手机卫士等专业安全软件,第一时间发现可能的利用这些漏洞的攻击程序并进行查杀及防护。

[责任编辑:赵艳艳]

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有