Lenovo 安全公告：LEN-60191

潜在影响：信息泄露

严重性：中

影响范围：全行业

CVE ID：CVE-2021-0086、CVE-2021-0089、CVE-2021-26313、CVE-2021-26314

摘要描述：

Intel 和 AMD 报告了某些 Intel 和 AMD 处理器中存在潜在安全漏洞，可能导致信息泄露。

应采取哪些措施进行自我保护：

为解决这些潜在漏洞，Intel 和 AMD 发布了以下经过更新的软件开发人员规范指南。Intel 和 AMD 不会针对这些漏洞发布新的固件更新。

为确保您获得适用于您系统的最新固件更新和应对策略，请遵循 LEN-30044 中“应对策略”部分的指南。

Intel 软件开发人员指南

对于 CVE-2021-0086，Intel 建议对受影响的软件（包括在 Intel® 处理器上运行的 Web 浏览器 JavaScript 引擎）执行以下措施之一：

进程隔离

使用 NaN-boxing 技术的替代方法（如专用类型标记）

在出现潜在的类型混淆使用之前约束 FP 结果

对于 CVE-2021-0089，Intel 建议对在 Intel® 处理器上运行的受影响软件执行以下措施之一：

-进程隔离

-在代码生成和代码执行之间进行序列化操作

-在代码生成和代码执行之间进行 LFENCE-semantic 操作

-选项包括 LFENCE、SYSCALL/SYSRET

AMD 软件开发人员指南

虽然不能在体系结构层级执行已覆盖的指令序列，但可以推测执行这些序列。AMD 建议软件供应商分析其代码中是否存在与推测执行已覆盖的指令相关的任何潜在漏洞（CVE-2021-26313）。AMD 建议软件供应商分析其代码中是否存在与使用错误浮点结果的推测执行相关的任何潜在漏洞（CVE-2021-26314）。

AMD 建议遵循此处的指南，以通过在覆盖指令和执行已覆盖的指令之间插入 LFENCE 来避免潜在的软件漏洞。

有关 AMD 处理器中的推测执行的更多信息，请参阅此处的说明。

参考资料：

AMD 指南：

https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1003

https://www.amd.com/system/files/documents/security-whitepaper.pdf

https://developer.amd.com/wp-content/resources/Managing-Speculation-on-AMD-Processors.pdf

Intel 指南：

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00516.html

FPVI – https://software.intel.com/content/www/us/en/develop/articles/software-security-guidance/advisory-guidance/floating-point-value-injection.html

SCSB – https://software.intel.com/content/www/us/en/develop/articles/software-security-guidance/advisory-guidance/speculative-code-store-bypass.html

LEN-30044：https://support.lenovo.com/us/en/solutions/LEN-30044

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。