Intel CPU架构重大漏洞,迫使Linux和Windows 10更新设计,打补丁将损失30%性能

2018-01-04 10:05  阅读 383 views 次 百度已收录   评论 0 条

事件开始:

北京时间1月3日早间消息,由于英特尔处理器存在一个底层设计缺陷,迫使LinuxWindows内核需要展开重大的重新设计,以便消除芯片层面的安全漏洞

程序员都在正在加紧检修开源Linux内核的虚拟内存系统。与此同时,微软也可能在下周二的补丁中发布对Windows系统展开必要调整:这些改版已经在去年11月和12月提供给Windows Insider的测试者。

关键问题在于,Linux和Windows系统的更新会对英特尔的产品性能产生冲击。虽然具体影响有待确定,但预计速度会放慢5%至30%,具体要取决于任务类型和处理器模式。英特尔最近的芯片配备了PCID功能,可以降低性能受到的影响。

苹果64位macOS等其他系统也需要进行类似的更新——该问题存在于英特尔的x86硬件之中,似乎无法通过微码升级来解决。必须要在系统层面通过软件来解决,或者购买没有设计缺陷的新处理器。

英特尔芯片的漏洞细节尚未披露,最早有望于本月初公布,可能会选在下周二的微软补丁发布日。事实上,Linux内核补丁已经对所有人开放,但源代码的评论内容经过修改,导致人们无法详细了解问题。

持续发酵:

还记得前不久那个被曝光影响大面积Intel Core CPU产品的安全漏洞吗?这貌似只是冰山一角,就在今天人们发现了Intel处理器里一个更为致命的漏洞,从最底端的Pentium,到最新的Coffee Lake Core无一幸免,现在全球的OS开发者们都全部行动了起来为Linux打补丁,微软也已经在对这个漏洞做反应……光看这种行动的规模就知道这次爆出的漏洞有多严重了。

本次爆出的Intel CPU架构漏洞的具体表现为核心内存泄漏,是属于芯片级别的安全bug,这个bug迫使Linux和Windows操作系统对它们的关键内核部分进行重新设计。一个操作系统的内核所使用的内存部分级别是非常高的,里面不光有操作系统正常运转的关键数据和驱动加载,它还存储了非常多的敏感信息如身份验证,密码等内容,通常来说在用户层面运行的程序是访问不了这部分内存的——或者说压根就看不见。但Intel CPU架构设计上的这个漏洞有可能会让恶意脚本直接读取核心内存,至少能拿走很多敏感信息。

虽然目前关于这个漏洞的细节因为安全考虑暂时没有公布,不过已经有相关领域的人士猜测,Intel CPU架构为追求执行效率在代码执行预测上偷了懒,有可能会绕过核心的安全机制直接执行用户代码。尽管在具体信息公布之前大家都不敢下结论,但就看Linux/Windows OS的开发者们现在手忙脚乱的样子,也足够知道这漏洞有多严重了——影响范围超级广,杀伤力也足够深入。不过好消息是要利用起这个漏洞也需要相当高的水平,或许能减轻一点群众的恐慌,不过最慌的是云服务运营商和商业用户,该漏洞导致的本地代码提权、虚拟机逃逸都会给他们的系统运转造成致命的威胁。

在这次灾难中比较幸运的自然是AMD了,目前尚无报告称AMD的CPU也存在核心内存泄露的问题,至少在Linux内核开发人员邮件群组的圣诞节报告中,很明确地指出AMD处理器微架构不允许内存引用所以不在受影响范围内(但也有消息指出是AMD第一时间致信Linux开发邮件组称针对其CPU提交了补丁,因为该漏洞是x86架构设计上的问题,但实际上在Linux开发邮件群组的复查过程里,ARM64也没能幸免)。

现在的最好结果是,Intel还可以用一定的性能损失换回本应存在的安全性。在已经对该漏洞作出反应的Linux系统和Windows 10 17035版本里,Intel CPU的性能都出现了一定程度的下降,最大的幅度可以达到30%,较新的CPU损失会小一些,然而Intel对AMD的I/O性能竞争力优势很可能会被大大削弱甚至是荡然无存(游戏性能貌似没受影响)。苹果用户们先别急着看笑话,你们用IntelCPU的macOS也跑不了。

看来CPU的竞争,还是要看谁先犯错,可能这一回,AMD真的要翻身了。

苹果呢?

AppleInsider北京时间1月4日报道,苹果已经通过去年12月份发布的macOS 10.13.2,至少部分修正了英特尔芯片中的缺陷。AppleInsider正在利用一台2017年款MacBook Pro对补丁软件对系统性能的影响进行测试,初期测试结果表明,与运行macOS High Sierra 10.13.1相比,运行10.13.2时系统性能没有明显下降。在一个影响过去15年来几乎所有英特尔处理器的安全缺陷曝光后,让业界越来越担忧的是,补丁软件可能使系统性能降低至多30%。苹果似乎已经通过去年12月发布的macOS 10.13.2,部分修正了这一问题,10.13.3中将包含更多补丁软件。

多名苹果内部人士向AppleInsider证实,10.13.2中已经有能修正这一缺陷的例程。与苹果过去10多年来部署的安全措施结合,这些措施似乎能缓和大多数——即使不是全部——与星期二公开的缺陷有关的安全担忧。

开发者亚历克斯·艾尼斯丘(Alex Ionescu)识别出了修正英特尔芯片缺陷的代码,进一步证实苹果的补丁软件,并把它称作“Double Map”。

存在缺陷的英特尔酷睿芯片

存在缺陷的英特尔酷睿芯片

AppleInsider的“线人”和艾尼斯丘均表示,macOS High Sierra 10.13.3会部署更多补丁软件,但均没有就可能部署的补丁软件,或为确保用户安全还需要采取哪些措施发表评论。

Linux代码库维护人员和微软都在开发修正英特尔芯片安全缺陷的补丁软件。微软向AppleInsider表示,目前不便就发布补丁软件的时间发表评论,但去年底发布的Windows 10β测试版本已经修改了内核内存访问机制。

因该缺陷面临危险的包括存储在内核内存中的任何数据,例如密码、应用密钥和文件缓存内容。与该缺陷有关的细节、利用它发动攻击的方法目前仍然处于保密状态。英特尔无法通过发布固件更新包的方式修正该缺陷。

除macOS外,微软Windows和Linux也面临这一缺陷的风险。有分析师指出,除PC外,公共云服务——亚马逊EC2微软Azure谷歌Compute Engine——也受到该缺陷影响,需要得到更新。

亚马逊已经通知用户2月份将为云服务发布大型更新包,微软将在1月10日按计划对Azure进行维护。

另外多嘴说一句:因为Mac基本都过热降频和tdp墙……一般无法达到CPU极限性能,故而影响可能不是很明显。

AMD和ARM也未幸免

CNBC北京时间1月4日报道,英特尔当地时间星期三表示,正在与AMD、ARM和软件厂商合作,解决媒体报道的一个安全问题。

英特尔称,媒体有关安全问题是由缺陷造成的,以及只有其产品存在相关安全问题的报道是不准确的,其他公司的芯片也存在相同问题。

英特尔芯片存在安全问题

英特尔芯片存在安全问题

此前,the Register刊文称,修正英特尔芯片中一处严重安全缺陷的补丁软件会影响到芯片性能。由于这一报道在市场上产生广泛影响,今天常规交易中,英特尔股价一度下跌6%,AMD股价则一度上涨逾8%。媒体报道称AMD芯片不会受到这一问题影响。

英特尔表示,其他公司芯片也存在相同问题。英特尔在一份声明中说,“最近媒体报道称这一安全问题是由一处‘缺陷’引起的,而且只影响英特尔芯片的说法是不正确的。根据目前的分析,许多类型的计算设备——配置多家不同公司处理器、运行不同操作系统——也会受到这些安全问题的影响。”

声明称,英特尔的计划是“迅速和建设性”地解决这一问题。

据the Register称,除影响PC外,该安全问题还影响公共云服务提供商,例如亚马逊Web Services、微软Azure和谷歌Cloud Platform。它们使用户能租借英特尔芯片,在Windows和Linux上运行自己的应用。

据测试过Linux版补丁软件的Phoronix高管迈克尔·拉拉贝尔(Michael Larabel)指出,补丁软件会使系统性能“下降1至2位数”。在PC上运行游戏的性能似乎不受补丁软件影响,运行PostgreSQL和Redis等数据库的性能会有适度下降。

英特尔在声明中也提到了性能问题,“与部分媒体报道截然不同的是,任何性能下降都取决于负载,对于普通用户而言,性能下降并不严重,随着时间推移,对性能的影响将得到缓解。”

英特尔称,它计划下周讨论这一安全问题,“届时会有更多软件和固件更新包发布”。

这一事件会给英特尔带来费用甚至诉讼,市场研究公司Bernstein分析师斯塔西·拉斯冈(Stacy Rasgon)在星期三发表的报告中也提及了这一点。

AppleInsider刊文称,苹果一直在忙于修正影响macOS的漏洞;the Register刊文称,微软已经在对修正该问题的Windows更新包进行测试。

谷歌、亚马逊、苹果和微软未就此置评。

英特尔建议用户,“与操作系统开发商或系统制造商接洽,尽可能快地安装它们发布的补丁软件。”

写在最后

这个bug最直观的表现是让同一台服务器上的虚拟机可以直接绕过权限互相访问,比如虚拟机A可以直接利用这个bug访问同一台服务器上的虚拟机B的数据,这对家用用户来说和没有没区别

但是对云服务和数据中心来说是致命的..硬件层解决是不可能的,这会直接导致系统掉20%~30%的性能,所以对这些人来说,这bug修还是不修?

不修 安全性是个大问题,修了 服务器性能要打七折。

也有阴谋论认为这是美帝主义留下的后门漏洞,但是像Intel的芯片这种产品,全球人都在用,有这种漏洞要是被发现岂不是和思科一样药丸?不过还是希望国产的半导体行业能进一步发展吧。

那些不想打补丁的用户,虽然你们的电脑里可能的确没有重要信息,但你们的电脑可以成为肉鸡,被别人拿去挖矿,利用这个漏洞,可以直接调用你电脑上的任意程序。这个性能降低,不影响游戏性能,但会影响硬盘性能,所以对于普通用户来说,打了补丁也不会让你游戏帧数变低,为了安全还是打上为好。

本文地址:https://www.jikefan.com/1182.html
版权声明:本文为原创文章,版权归 Elvis Loo 所有,欢迎分享本文,转载请保留出处!
2345网址导航

发表评论


表情