2018年01月03日左右，Google公司的安全團(tuán)隊(duì)披露英特爾處理器的芯片存在的安全漏洞，該漏洞事件源于芯片硬件層面設(shè)計(jì)BUG，利用漏洞能夠允許具有用戶權(quán)限的進(jìn)程訪問(wèn)未經(jīng)授權(quán)的CPU緩存數(shù)據(jù)，這可能導(dǎo)致攻擊者獲取到用戶設(shè)備上的一些敏感數(shù)據(jù)，例如密碼、登錄秘鑰、用戶的私人照片、郵件、即時(shí)通訊信息甚至是商業(yè)秘密文件等。

亂序執(zhí)行的微結(jié)構(gòu)框圖。熔毀利用了圖中execution engine的部分，幽靈利用了圖中branch predictor的部分。  

天津麒麟在第一時(shí)間緊急召集安全研發(fā)和應(yīng)急團(tuán)隊(duì)，啟動(dòng)重大漏洞處理流程，分析漏洞成因，分析受影響的產(chǎn)品，并討論為此次漏洞制定補(bǔ)丁升級(jí)解決方案。截止目前亦未收到該漏洞給用戶實(shí)質(zhì)影響的報(bào)告。

天津麒麟針對(duì)旗下基于X86處理器的銀河麒麟操作系統(tǒng)產(chǎn)品進(jìn)行了補(bǔ)丁升級(jí)，給相關(guān)用戶發(fā)布安全通告，提示版本補(bǔ)丁更新?，F(xiàn)在官網(wǎng)上發(fā)布提供用戶和合作伙伴下載更新。 

請(qǐng)需要下載更新代碼的用戶和伙伴移步到天津麒麟信息技術(shù)有限公司官方網(wǎng)站（www.kylinos.cn）獲得相關(guān)資訊和代碼下載鏈接。本次更新為基于X86處理器的銀河麒麟操作系統(tǒng)V3.2.8版本、V3.2.5版本，詳情見(jiàn)http://archive.kylinos.cn/security-updates。

鑒于國(guó)產(chǎn)CPU飛騰處理器暫時(shí)不受到該漏洞影響，針對(duì)該平臺(tái)，銀河麒麟操作系統(tǒng)同時(shí)通過(guò)此漏洞補(bǔ)丁更新和用戶態(tài)應(yīng)用程序越權(quán)訪問(wèn)權(quán)限限制進(jìn)行安全加固，我們將持續(xù)關(guān)注，確保給客戶提供安全可靠的系統(tǒng)。廣大用戶請(qǐng)密切關(guān)注補(bǔ)丁發(fā)布動(dòng)態(tài)，及時(shí)對(duì)系統(tǒng)進(jìn)行更新并應(yīng)用設(shè)備制造商提供的固件更新，有效防止自己的設(shè)備收到此次漏洞攻擊。

銀河麒麟操作系統(tǒng)具有基于標(biāo)記的執(zhí)行控制機(jī)制，實(shí)現(xiàn)對(duì)應(yīng)用程序的合法性和完整性標(biāo)記，確保只有合法且完整的動(dòng)態(tài)鏈接庫(kù)、可執(zhí)行程序及內(nèi)核模塊才允許加載和執(zhí)行，嚴(yán)格限制非法應(yīng)用程序的加載執(zhí)行權(quán)限，增加該漏洞的利用難度。針對(duì)英特爾處理器平臺(tái)，銀河麒麟操作系統(tǒng)已經(jīng)做了漏洞修復(fù)，將內(nèi)核空間與用戶空間使用的內(nèi)核頁(yè)表進(jìn)行了隔離，確保用戶態(tài)應(yīng)用程序的訪問(wèn)隔離，但該修復(fù)補(bǔ)丁將對(duì)性能有一定影響，針對(duì)用戶的不同應(yīng)用場(chǎng)景，系統(tǒng)提供了針對(duì)此漏洞的內(nèi)核開(kāi)關(guān)供用戶自行配置。

CPU補(bǔ)丁修復(fù)說(shuō)明

補(bǔ)丁安裝方法：

參考光盤(pán)內(nèi)置對(duì)應(yīng)的幫助文件或者README文件

補(bǔ)丁對(duì)應(yīng)CVE修復(fù)情況：

CVE-2017-5753： 僅需軟件補(bǔ)丁修復(fù)，補(bǔ)丁不可被禁用；

CVE-2017-5715： 需要通過(guò)軟件補(bǔ)丁和微碼升級(jí)同時(shí)開(kāi)啟，補(bǔ)丁可被禁用；微碼需要由硬件廠商提供，或者到對(duì)應(yīng)的廠商網(wǎng)站下載；

CVE-2017-5754： 僅需通過(guò)軟件補(bǔ)丁修復(fù)，補(bǔ)丁可被禁用；

如何關(guān)閉補(bǔ)?。?/span>

取消CVE-2017-5715補(bǔ)丁功能：

(1)永久關(guān)閉，在啟動(dòng)參數(shù)中加入 noibrs noibpb 

(2)動(dòng)態(tài)關(guān)閉，掛載debugfs文件系統(tǒng)（mount -t debugfs nodev /sys/kernel/debug），并執(zhí)行echo 0 > /sys/kernel/debug/x86/ibrs_enabled

echo 0 > /sys/kernel/debug/x86/ibpb_enabled

取消CVE-2017-5754補(bǔ)丁功能：

(1)永久關(guān)閉，在啟動(dòng)參數(shù)加入nopti

(2)動(dòng)態(tài)關(guān)閉，掛載debugfs文件系統(tǒng)（mount -t debugfs nodev /sys/kernel/debug），并執(zhí)行echo 0 > /sys/kernel/debug/x86/pti_enabled