推测性执行边信道漏洞（CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646）：对戴尔 PC 和瘦客户端产品的影响

CVE ID：CVE-2018-3615、CVE-2018-3620、CVE-2018-3646

戴尔了解到最近披露的一类CPU推测性执行漏洞（CVE-2018-3615、CVE-2018-3620和CVE-2018-3646），这些漏洞统称为“L1终端故障”(L1TF)，它们会影响Intel微处理器。有关这些漏洞的详情，请参阅Intel发布的安全公告。

戴尔正在调查这些漏洞对我们产品的影响，我们努力与Intel及其他行业合作伙伴协作缓解这些漏洞的影响。缓解步骤可能会因产品而异，并可能需要更新操作系统(OS)、虚拟机管理器(VMM)和其他软件组件。作为CVE-2018-3639和CVE-2018-3640缓解步骤的一部分发布的微代码是足够的。

在能够应用将来的更新之前，戴尔建议客户遵循恶意软件防护的安全妥善做法，以帮助防止这些漏洞被利用。这些做法包括但不限于，立即部署软件更新、避免访问未知超链接和网站、切勿下载来源不明的文件或应用程序，以及采用最新防病毒解决方案和高级威胁防护解决方案。

受影响的戴尔客户端产品

下面的系统受到影响，将通过戴尔BIOS版本（BIOS更新）获取更新的固件。此列表中的日期取决于CPU供应商的微代码交付。这些日期是预计日期，仅供客户规划使用，将会得到更新，在软件包可用时，提供软件包下载链接。

需要应用两种基本组件以缓解上述漏洞的风险：

1. CVE-2018-3639和CVE-2018-3640产品表中列出的系统BIOS
2. 操作系统和虚拟机管理程序更新

有关其他戴尔产品的信息，请参阅 https://www.dell.com/support/article/sln318303。

外部参考

• Intel：https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html
• Microsoft：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018
• RedHat：https://access.redhat.com/security/vulnerabilities/L1TF
• SuSe：https://www.suse.com/c/suse-addresses-the-l1-terminal-fault-issue/
• Ubuntu：https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF
• VMWare：https://kb.vmware.com/kb/55636