全國信息安全標準化技術(shù)委員會(huì )秘書(shū)處(以下簡(jiǎn)稱(chēng)“信安標委秘書(shū)處”)針對近期披露的CPU熔斷(Meltdown)和幽靈(Spectre)漏洞，組織相關(guān)廠(chǎng)商和安全專(zhuān)家，編制發(fā)布了《網(wǎng)絡(luò )安全實(shí)踐指南—CPU熔斷和幽靈漏洞防范指引》(以下簡(jiǎn)稱(chēng)《防范指引》)。

　　

　　信安標委秘書(shū)處相關(guān)負責人表示，熔斷和幽靈漏洞影響范圍覆蓋主流CPU，引發(fā)廣泛的關(guān)注。相關(guān)廠(chǎng)商應及時(shí)應對，為產(chǎn)品提供必要的技術(shù)支持，有序開(kāi)展補丁升級工作，引導用戶(hù)提高安全意識，有效控制相關(guān)風(fēng)險，維護用戶(hù)利益。

　　

　　據介紹，本次披露的漏洞屬于芯片級漏洞，主要影響和風(fēng)險包括竊取內存數據、造成敏感信息泄漏等。目前尚未發(fā)現利用上述漏洞針對個(gè)人用戶(hù)的直接攻擊。

　　

　　《防范指引》就受熔斷和幽靈漏洞威脅的四類(lèi)典型用戶(hù)，包括云服務(wù)提供商、服務(wù)器用戶(hù)、云租戶(hù)、個(gè)人用戶(hù)等，給出了詳細的防范指引，并提供了部分廠(chǎng)商安全公告和補丁鏈接。其中，云服務(wù)提供商和服務(wù)器用戶(hù)應在參考CPU廠(chǎng)商和操作系統廠(chǎng)商建議的基礎上，結合自身環(huán)境制定升級方案，綜合考慮安全風(fēng)險、性能損耗等因素，采取相關(guān)安全措施防范安全風(fēng)險；云租戶(hù)和個(gè)人用戶(hù)應及時(shí)關(guān)注云服務(wù)提供商、操作系統廠(chǎng)商、瀏覽器廠(chǎng)商等提供的安全補丁，及時(shí)升級，避免受到漏洞的影響?！斗婪吨敢啡目赏ㄟ^(guò)訪(fǎng)問(wèn)信安標委網(wǎng)站獲得(www.tc260.org.cn)