Meltdown, Spectre和Smartsheet

英特尔CPU漏洞“Meltdown”和“Spectre”正在IT行业引起焦虑。虽然细节仍在出现，但我们迄今为止了解到的情况让我们相信，Smartsheet应用程序可以防止这些漏洞被利用。我们不断评估新的技术细节，根据我们目前的理解，我们相信我们的数据中心架构可以减轻这些漏洞的利用。

要理解为什么我们有信心这样说，有两件事很重要:漏洞/利用的性质，以及我们数据架构的简要高层图片。

使用CPU

而如何利用这些漏洞的技术细节(在更详细的描述在这里)，该漏洞存在于英特尔、AMD和ARM cpu的架构中，攻击者需要在他们想要攻击的物理机器上执行代码。通过利用CPU中的漏洞，攻击者的代码可以在机器/内核级别跨进程边界“窥视”，基本上绕过任何操作系统的限制。因此，攻击者可以访问他们通常不被允许查看的数据。

对于允许多租户(多个客户在同一服务器上运行虚拟机)的云供应商来说，理论上，这将允许攻击者将运行在同一硬件上的进程或虚拟机转到另一个应用程序上，“查看”其他进程正在执行什么，并访问这些其他进程中的数据。这里引用了一个特别鲜明的演示推特，显示任意本机进程“跨越”进程边界以查看正在输入到其他进程窗口的数据。(值得注意的是，研究人员还没有发现任何证据表明黑客目前正在利用这一技术。)

同样需要注意的是，“三大”公共云供应商(亚马逊、微软和谷歌)已经推出或正在推出其硬件库的补丁以规避该漏洞。

然而，要记住的关键是，该漏洞需要能够在目标机器上执行代码。

Smartsheet数据存储

当Smartsheet用户将数据保存到sheet(或进行API调用)时，该数据通过客户端传输到运行在Smartsheet操作的数据中心的Smartsheet web服务器。

除了一些附件存储和一些辅助服务，Smartsheet还利用了公共云服务，包括Amazon EC2、S3和Heroku，这些服务都运行在Amazon Web services (AWS)中。亚马逊已经确认了他们产品的补丁状态ob欧宝娱乐app手机下载在这里．

然而，另一件值得提及的事情是，有一种机器是Smartsheet无法控制的，那就是输入或查看用户数据的客户端——也就是说，客户的PC或移动设备。虽然目前还没有发现利用这一漏洞的“野蛮”攻击，但Smartsheet想提醒所有客户，数据的安全程度取决于其所在计算机的安全性，并强烈建议所有用户保持最新的操作系统补丁和更新，以防止像Meltdown和Spectre这样的漏洞。由于该漏洞可被Javascript恶意软件利用，因此特别鼓励用户及时更新浏览器。

正在进行的

这些漏洞的曝光降低了消费者对电脑保护他们数据安全的信任，在Smartsheet，我们非常重视这种信任。我们将继续关注各主体发布的讨论和公告，并采取一切可能的行动确保您的数据安全。

有关这两个漏洞的更多信息，我们建议读者查看https://spectreattack.com/其中包含了许多关于攻击细节的链接，以及相关公司的回应链接。谷歌的ProjectZero页面是关于Meltdown和Spectre的权威信息来源之一，并有描述每个学术论文的链接，以及关于它们如何工作的深入详细的技术分析。

如有任何疑问，请使用//www.santa-greenland.com/gethelp．