Lenovo 安全公告：LEN-30553

潜在影响：信息泄露、权限提升

严重性：中

影响范围：全行业

CVE ID：CVE-2020-0551、CVE-2020-0561

摘要描述：

Intel 报告了某些 Intel 处理器中存在潜在安全漏洞，可能导致信息泄露。

CVE-2020-0551：某些使用推测执行的 Intel 处理器上存在加载值注入（LVI），可能允许经过认证的用户潜在地通过具有本地访问权限的侧信道造成信息泄露。

Intel 报告了某些 Intel 处理器和 Intel Software Guard Extensions（SGX）SDK 中存在以下潜在安全漏洞。这些漏洞影响已启用 SGX 的指纹读取器的一些 Lenovo 驱动程序。

CVE-2020-0551：某些使用推测执行的 Intel 处理器上存在加载值注入（LVI），可能允许经过认证的用户潜在地通过具有本地访问权限的侧信道造成信息泄露。

CVE-2020-0561：Intel 报告了 Intel Software Guard Extensions（SGX）SDK 中存在一个潜在安全漏洞，可能会导致完整性部分受损。

应采取哪些措施进行自我保护：

CVE-2020-0551：

SGX 私有内存区

Intel 建议采用以前针对 L1 Terminal Fault（LEN-24163）和微架构数据采样（MDS）（LEN-26696）的缓解措施来减少此漏洞的影响。Intel 已发布了 SGX 平台软件（PSW）和 SDK 更新来缓解 SGX 私有内存区的问题。Intel 建议将受影响驱动程序更新到以下“产品影响”部分中针对您的产品型号列出的最新版本。

以下网址提供了最新的 Windows SGX PSW 和 SDK：https://registrationcenter.intel.com/en/forms/?productid=2614

以下网址提供了最新的 Linux SGX PSW 和 SDK：https://01.org/intel-software-guard-extensions/downloads

操作系统（OS）和虚拟机管理器（VMM）

Intel 建议采用以前针对 Spectre（LEN-22133）、TSX 异步中止（TAA）（LEN-27714）、L1 Terminal Fault（LEN-24163）和 MDS（LEN-26696）的缓解措施来显著减少此漏洞的影响。

软件应用程序

Intel 建议采用以前针对微架构数据采样（MDS）（LEN-26696）的缓解措施来减少此漏洞的影响。请参阅 Intel 深入介绍：受管运行时推理执行侧信道缓解措施获取更多指导。

CVE-2020-0561：Intel 建议将受影响的驱动程序更新到以下“产品影响”部分中针对您的产品型号列出的最新版本。

产品影响：

请单击了解更多信息。

台式机 - 未受影响

台式一体机 - 未受影响

IdeaPad

网络交换机 - 未受影响

Storage - 未受影响

System x - Lenovo - 未受影响

System x（IBM）- 未受影响

ThinkAgile - 未受影响

ThinkPad

ThinkServer - 未受影响

ThinkStation - 未受影响

ThinkSystem - 未受影响

参考资料：

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.html

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00336.html

https://software.intel.com/security-software-guidance/insights/deep-dive-managed-runtime-speculative-execution-side-channel-mitigations

https://support.lenovo.com/us/en/product_security/LEN-26696

https://support.lenovo.com/us/en/product_security/LEN-22133

https://support.lenovo.com/us/en/product_security/LEN-27714

https://support.lenovo.com/us/en/product_security/LEN-24163