CPU漏洞暗藏杀机 360浏览器出招防御
日前,360网络安全响应中心发布了Meltdown与Spectre两组CPU特性漏洞的安全公告。公告指出:这两组漏洞会造成CPU运作机制上的用户信息泄露,近20年的Intel, AMD, Qualcomm厂家和其它ARM的处理器均有影响。鉴于漏洞风险等级严重,360浏览器迅速升级防护功能,成为首款能够防御该系列CPU漏洞的国产浏览器。。
恶意网页攻击CPU漏洞可窃取用户信息
按照公告描述,此次爆出的两组CPU漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露(浏览器形式)用户信息或本地泄露更高权级的内存信息。
在实际攻击场景中,攻击者可以通过这两组漏洞窃取本地操作系统底层运作信息,密钥信息等。这些信息泄露后,本地计算机的内核和虚拟超级管理器的隔离防护便形同虚设。攻击者还可以通过浏览器获取用户的帐号、密码、内容、邮箱、 cookie等隐私信息,用户使用云服务时登记的隐私信息也有可能因这两组漏洞泄露。
如临大敌!主流浏览器紧急上线防御工事
此次CPU漏洞波及范围不可谓不广。漏洞爆出后,包括Linux, Windows, OSX等在内的操作系统平台都参与了修复,国外的Firefox, Chrome, Edge等浏览器也发布了相关的安全公告和缓解方案,360浏览器也第一时间推出升级版本,成为国内首款支持防御CPU漏洞的浏览器产品。
要封堵这项漏洞,基本的思路还是针对访问内存、预测执行功能动手。360浏览器新版通过限制相关API和机制,防止黑客利用这系列CPU漏洞进行攻击,从而大幅度增加了黑客利用CPU漏洞的难度,并且对用户使用基本不会产生负面影响,黑客也无法攻击CPU漏洞窃取用户隐私数据。
为了全面抵御CPU漏洞带来的安全危机,网络安全专家提醒:
1、升级最新的操作系统和虚拟化软件补丁:目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以阻止这些漏洞被利用;
2、升级最新的浏览器补丁,使用最新版360浏览器防御漏洞;
3、等待或要求云服务商及时更新虚拟化系统补丁;
4、安装360安全卫士、360 手机 卫士等专业安全软件,第一时间发现可能的利用这些漏洞的攻击程序并进行查杀及防护。