針對(duì)最近曝出的兩大芯片漏洞，昨日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱“信安標(biāo)委”）發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引》（簡稱《防范指引》）。

最近有研究人員在英特爾芯片中發(fā)現(xiàn)兩個(gè)關(guān)鍵漏洞，稱攻擊者可以利用漏洞從APP運(yùn)行內(nèi)存中竊取數(shù)據(jù)，引發(fā)了廣泛關(guān)注和擔(dān)憂。隨后英特爾承認(rèn)這些漏洞存在，但并非是英特爾芯片獨(dú)有的缺陷。

信安標(biāo)委指出，CPU熔斷（Meltdown）和幽靈（Spectre）漏洞影響范圍覆蓋主流CPU。其中，熔斷漏洞涉及幾乎所有的英特爾CPU和部分ARM CPU；幽靈漏洞涉及所有的英特爾CPU、AMD CPU，以及部分ARM CPU。

這兩大芯片級(jí)漏洞，主要影響和風(fēng)險(xiǎn)包括竊取內(nèi)存數(shù)據(jù)、造成敏感信息泄露等。信安標(biāo)委指出，上述漏洞只能讀取數(shù)據(jù)，不能修改數(shù)據(jù)，遠(yuǎn)程利用難度較大，尚未監(jiān)測到利用上述漏洞的真實(shí)攻擊案例。

該《防范指引》就受熔斷和幽靈漏洞威脅的四類典型用戶，包括云服務(wù)提供商、服務(wù)器用戶、云租戶、個(gè)人用戶等，給出了詳細(xì)的防范指引，并提供了部分廠商安全公告和補(bǔ)丁鏈接。

其中，針對(duì)個(gè)人用戶，《防范指引》指出，盡管上述漏洞影響極為廣泛，但利用條件較為苛刻，攻擊成功率低。建議關(guān)注各操作系統(tǒng)廠商、瀏覽器廠商、整機(jī)廠商等的安全公告，采用系統(tǒng)自帶的系統(tǒng)升級(jí)工具或第三方提供的漏洞管理工具下載和安裝補(bǔ)丁，從而避免漏洞的影響。同時(shí)，個(gè)人用戶應(yīng)安裝并及時(shí)更新防病毒軟件，并養(yǎng)成良好上網(wǎng)習(xí)慣，不輕易瀏覽不信任的網(wǎng)站，不輕易點(diǎn)擊來源不明的網(wǎng)頁鏈接，提高安全防范意識(shí)。北京晨報(bào)記者 焦立坤