Meltdown, Spectre和Smartsheet

英特尔的CPU漏洞“Meltdown”和“Spectre”正在IT行业引发焦虑。虽然细节还在不断出现，但我们目前了解到的情况让我们相信，Smartsheet应用程序可以防止这些漏洞被利用。我们不断地评估新的技术细节，因为它们是可用的，根据我们目前的理解，我们相信我们的数据中心架构减轻了这些bug被利用的风险。

要理解为什么我们有信心这么说，重要的是要理解两件事:bug /漏洞的性质，以及我们的数据架构的简要高层图片。

利用CPU

而如何利用这些bug的技术细节(将更详细地描述)在这里)深嵌于英特尔、AMD和ARM cpu的架构中，该漏洞需要攻击者在其希望攻击的物理机器上执行代码。通过利用CPU中的漏洞，攻击者的代码可以在机器/内核级别“窥探”进程边界，基本上绕过了任何操作系统的限制。因此，攻击者可以访问他们通常不被允许查看的数据。

对于允许多租户(多个客户在同一台服务器上运行虚拟机)的云供应商来说，理论上，这将允许攻击者旋转运行在同一硬件上的进程或虚拟机，即另一个应用程序，“查看”其他进程正在执行什么，并访问那些其他进程中的数据。这里引用了一个特别鲜明的演示推特，显示一个任意的本机进程“跨越”进程边界，以查看正在输入到另一个进程窗口中的数据。(需要注意的是，研究人员还没有发现任何证据表明黑客目前正在使用这种技术。)

还需要注意的是，“三大”公共云供应商(Amazon、Microsoft和谷歌)已经或正在向其硬件库推出补丁，以规避该漏洞。

然而，要记住所有这一切的关键是，攻击需要能够在目标机器上执行代码。

内容数据存储

当Smartsheet用户将数据保存到表格(或进行API调用)时，数据通过客户端传输到运行在Smartsheet操作的数据中心的Smartsheet web服务器上。

除了一些附件存储和一些辅助服务，Smartsheet还使用了公共云服务，包括Amazon EC2、S3和Heroku，这些服务都运行在Amazon Web services (AWS)中。亚马逊已经确认了他们产品的补丁状态ob欧宝娱乐app手机下载在这里．

然而，还有一件事值得提及，那就是Smartsheet无法控制的机器，那就是输入或查看用户数据的客户端——也就是说，客户的PC或移动设备。虽然目前还没有发现利用这一漏洞进行的“大规模”攻击，但Smartsheet希望提醒所有客户，数据的安全性取决于所使用计算机的安全性，并强烈建议所有用户及时更新最新的操作系统补丁和更新，以防止Meltdown和Spectre等漏洞。由于该漏洞可以被Javascript恶意软件利用，因此特别鼓励用户保持浏览器更新。

正在进行的

这些漏洞的暴露削弱了消费者对电脑保护数据安全的信任，而在Smartsheet，我们非常重视这种信任。我们将继续关注各主要机构发布的讨论和公告，并采取一切可能的行动保护您的数据安全。

关于这两个漏洞的更多信息，我们建议读者查看https://spectreattack.com/它包含了大量的链接，指向这些攻击的细节，以及相关公司的回应链接。谷歌的ProjectZeropage是关于Meltdown和Spectre的权威信息来源之一，并有描述它们的学术论文的链接，以及对它们如何工作的深入详细的技术分析。

如有任何问题，请使用//www.santa-greenland.com/gethelp．