据外媒报道,近几日曝出的芯片漏洞被证实影响范围及广,其几乎波及了全球所有的手机、电脑、服务器以及云计算产品。一开始最先被曝出受到影响的芯片来自英特尔公司,后来AMD以及ARM处理器也都被证实受到波及。
为此,全球各大云计算公司都在争相开发能够修复这些漏洞的软件补丁。
小编访问了云计算公司官网发现已经发出升级通告的有:AWS、Azure、阿里云、 金山云等云计算公司都在为其所用的操作系统以及云服务更新打补丁通告
目前未发出升级通告的有:Google Cloud、IBM Cloud、UCloud、腾讯云、华为云、青云QingCloud、网易云、百度云、京东云、比格云、美团云、小鸟云、 滴滴云等等
全球云计算厂商官方公告通知
AWS:
90%以上的实例已经受保护,剩下百分之几的实例将在未来几小时发出实例维护通知。
All but a small single-digit percentage of instances across the Amazon EC2 fleet are already protected. The remaining ones will be completed in the next several hours, with associated instance maintenance notifications.
AWS通过这些更新保护了底层基础设施,为实现全面保护,建议您同时安排时间为您的实例操作系统打上补丁。
While the updates AWS performs protect underlying infrastructure, in order to be fully protected against these issues, customers must also patch their instance operating systems.
Azure:
一个影响范围广泛、基于硬件的安全漏洞已于今日被披露(第三方网站:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html)出来。保证用户的安全始终是我们的首要任务,与此同时,我们正在积极采取措施确保 Azure 用户不会受到这些漏洞的影响。截至这条消息发送时,我们尚未收到任何有关信息显示这些漏洞已被用于攻击 Azure 的用户。
Azure 的大部分基础设施已经完成更新以修复这个漏洞。还有一部分组件仍在更新当中,这需要客户重新启动虚拟机以使安全更新生效。如果您在最近几周收到 Azure 的计划维护通知后已经对虚拟机完成了维护,您将不需要其他任何的操作。
这个安全漏洞今天被披露出来,我们正在加快计划维护进展,我们计划在北京时间 2018 年 1 月 4 日上午 11:30 开始自动重启剩余受影响的虚拟机。为了加快本次更新进度,原本向部分客户开放的自助维护窗口现在已经全部关闭。
在此次升级期间,我们会严格遵守我们对可用性集、虚拟机规模集以及云服务的 SLA 承诺。这将会减缓对可用性造成的影响,在任意给定的时间内将只有一部分虚拟机会执行重启。这确保了任何遵循 Azure 高可用性指南的解决方案都会继续服务于您的用户。您虚拟机上的操作系统磁盘和数据磁盘会在维护期间保持完好。您可以在 Azure 管理门户的虚拟机页面中查看您的虚拟机状态。
大部分 Azure 客户不会在此次更新后观察到到显著的性能影响。我们已经对 CPU 和磁盘读写进行优化,在修复后并未发现明显的性能影响。我们会持续监控平台性能并积极响应客户反馈。
为了修复该漏洞,这次 Azure 基础设施在虚拟化引擎级别进行了更新,您不必更新 Windows 或 Linux 镜像。然而,我们仍然强烈建议您在虚拟机镜像上继续应用最佳安全实践。
阿里云:
近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。截至此公告发布,没有监测到针对此漏洞的攻击程序。
金山云:
亲爱的金山云用户:
您好!外界安全研究人员发现Intel CPU存在安全漏洞,问题覆盖过去10年内Intel绝大部分CPU型号。一旦漏洞被利用,同一物理空间内将存在提权风险。根据金山云掌握的威胁情报,目前还未出现漏洞被利用的案例。金山云与我们的战略级合作伙伴Intel就此问题已进行协商,Intel会提供漏洞修补的技术方案,金山云将持续跟进此问题,并将在第一时间进行升级修复,解除用户后顾之忧。
由此给您带来的不便我们深表歉意,后续有任何进展会及时同步给您,感谢您的理解与支持!
如有问题请及时拨打7×24小时客服电话:400-028-9900,或直接发送邮件至:ksyun_cs@kingsoft.com 与我们联系。再次感谢您对金山云的理解与支持!
北京金山云网络技术有限公司
2018/1/3
谷歌:几乎影响每个人,每台设备
谷歌安全团队的 Horn 是漏洞的发现者,他认为这个硬件层面的漏洞需要 CPU厂商的固件修复、操作系统修复以及应用厂商的协作。
按照谷歌的说法,每个人以及每台设备都会受到影响。所有芯片厂商(Intel, AMD, ARM)和主要的操作系统(Windows, Linux, macOS, Android, ChromeOS)、云服务提供者 (Amazon, Google, Microsoft) 都会有影响。
Google Cloud
谷歌团队提供了一个受影响产品及用户/客户操作列表,从中可以发现,谷歌云端平台(Google Cloud Platform)受影响的包括,
Google Compute Engine
Google Kubernetes Engine
Google Cloud Dataflow
Google Cloud Dataproc
但是目前没有看到官网升级公告。
英特尔:对安全研究结果作出回应
英特尔和其他技术公司已经注意到新的安全研究,描述了软件分析方法,当被用于恶意目的时,有可能不恰当地从正在使用的计算设备中收集敏感数据。英特尔认为这些漏洞没有潜在的破坏、修改或删除数据。
最近有报道称,这些漏洞是由“bug”或“缺陷”造成的,说这是英特尔产品的独有的是不正确的。基于迄今为止的分析,许多类型的计算设备,有许多不同的供应商的处理器和操作系统,都很容易受到这些攻击。
英特尔致力于产品和客户的安全,并与包括AMD、ARM控股和几家操作系统供应商在内的许多其他技术公司密切合作,以开发一种全行业的方法来迅速和建设性地解决这个问题。英特尔已经开始提供软件和固件升级,以减轻这些漏洞。与一些报告相反,任何性能影响都是依赖于工作负载的,对于普通的计算机用户来说,不应该是显著的,并且会随着时间的推移而减轻。
英特尔致力于业内最佳的负责披露潜在安全问题的做法,这也是英特尔和其他供应商计划在下周公布更多的软件和固件更新的原因。然而,由于目前媒体报道的不准确,英特尔公司今天发表了这一声明。
请与你的操作系统供应商或系统制造商联系,并尽快应用任何可用的更新。遵循良好的安全措施,防止恶意软件的普遍使用,也有助于防止可能的开发,直到可以应用更新。
英特尔认为其产品是世界上最安全的产品,在其合作伙伴的支持下,目前的解决方案为其客户提供了最好的安全保障。