网络安全橙色预警:关于CPU处理器内核存在严重漏洞的安全公告

各部门及全体师生: 
  1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,对应CVE-2017-5715和CVE-2017-5753)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。 
  该漏洞存在于英特尔(Intel)x86及x64的硬件中,在1995年以后生产的Intel、AMD、ARM处理器芯片都受此漏洞影响,该漏洞影响了整个行业多个厂商的不同硬件(Intel、AMD和ARM)、软件(Windows、Linux、Android、Chrome、iOS、Mac OS),涉及面非常广。目前,各大厂商都在积极应对该漏洞,部分厂商已经提供了解决方案。 
  鉴于本次漏洞涉及面非常广,修复难度很大,特此发布橙色预警并建议采取如下防护措施:
1. 保证良好的上网习惯,不要轻易打开链接不明的网址,不要轻易打开来源不明的电子邮件,不要轻易点击来历不明的文件;
2. 建议所有电脑安装并开启安全软件(例如最新版360安全卫士、360杀毒,可从信息中心网站下载:http://www.517didi.com/s/11/t/122/p/2/c/1157/list.htm),升级病毒库;
3. 为浏览器及时更新补丁,IE浏览器补丁(KB4056568)http://www.517didi.com/s/11/t/122/65/2f/info25903.htm,其他浏览器也需更新;
4. 建议暂缓进行操作系统补丁更新,由于相关安全机构披露漏洞细节过快,使得相关各方的补丁修补计划仓促推出,目前发布的补丁程序兼容问题相对严重,已有部分用户反应安装操作系统补丁后出现蓝屏、杀毒软件不能工作、Office不能正常工作等情况,因此更新操作系统补丁需要慎重;
5. 也可以通过各安全厂商提供的专用工具检测电脑是否存在漏洞并更新补丁:http://www.517didi.com/s/11/t/122/65/30/info25904.htm。 

  如有困难可咨询信息中心,咨询电话:57131333*1716。


网络安全和信息化办公室
2018-1-9