系统安装更新以解决大多数Intel CPU中的漏洞

2019-05-16 05:48发布

站内文章 / 移动开发

64 0

仙女界的扛把子

女 | 书童

私信

在一对名为Spectre和Meltdown的安全漏洞展示了攻击者如何利用通常实施的CPU技术来访问他们本不可能的数据。他们之后是一个类似的错误，Foreshadow，去年年底，现在研究人员发现了四种不同的技术，以类似的方式利用英特尔的推测执行技术。

网站CPU.fail收集了有关每个漏洞的信息 - 它们统称为微架构数据采样（MDS） - 包括Zombieload，RIDL和Fallout以及Store-to-Leak Forwarding。例如，示例代码显示了如何使用恶意JavaScript启动攻击，研究人员表示反病毒软件很难检测到它，但是到目前为止他们还没有发现任何人使用该技术进行攻击的证据。

如果您的计算机使用自2011年以来发布的英特尔CPU，那么恭喜您 - 您可能已经赢得了一个漏洞，因为只有“选择”第8代和第9代核心CPU以及第2代Xeon可扩展CPU具有针对攻击的硬件保护。

修补漏洞需要固件更新和软件更新的组合。macOS，Windows，ChromeOS和Linux已经有软件更新来解决MDS攻击，而英特尔也发布了一些硬件（PDF）的微代码更新，你应该通过主板和系统供应商获得。就像Spectre和Meltdown一样，修复程序预计会影响性能 - 你可以在这里获得更多信息

当幽灵和熔化错误，很明显，他们不会用一些快速补丁修复 - 问题比这更深入。幸运的是，英特尔有足够的时间来研究它，今年晚些时候推出的新芯片将包括硬件/架构级别的改进，以防止这些缺陷。好吧，无论如何，三分之二。

首席执行官Brian Krzanich 在感谢几个合作伙伴之后，他指出，过去5年中所有受影响的产品都已收到软件更新，以保护他们免受错误的侵害。当然，这些更新的功效是有争议的，以及它们的性能命中 - 如果您的硬件供应商甚至可以获得补丁。但无论如何，修复程序是可用的。

这里实际上有三个半相关的错误：幽灵是变种1和2; 然后是变种3，研究人员称其为Meltdown。变量1可以说是最难解决的问题，因此英特尔还没有硬件解决方案 - 但它有变体2和3。

“我们重新设计了部分处理器，通过分区引入新级别的保护，以防止变体2和3，”Krzanich写道。Cascade Lake Xeon和第8代核心处理器在2018年下半年出货时应该包括这些变化。虽然这有点模糊，但我们可以肯定英特尔将突出宣传新芯片包括缓解措施，因为我们接近发布。

最后，即使是较旧的硬件也将获得微代码更新 - 回到第一代Core处理器。还记得Nehalem和Penryn吗？这些也将及时修补。任何人都惊讶于Nehalem系统仍在使用，可能在大公司或政府机构中没有在IT部门工作过。我敢打赌，能源部某处的Pentiums上有98SE系统运行。

为了解决今年早些时候Google Project Zero报告的漏洞，英特尔和技术行业面临着重大挑战。整个行业的数千人不知疲倦地工作，以确保我们的集体优先事项：保护客户及其数据。我很谦卑，并感谢全球这么多人所表现出的承诺和努力。并且，我很放心，当需求很大时，公司 - 甚至是竞争对手 - 将共同努力满足这一需求。

但仍有工作要做。安全领域不断发展，我们知道总会有新的威胁。这是我在1月份写下的安全第一承诺的推动力。英特尔长期以来一直专注于安全性，现在，我们比以往任何时候都更加致力于我在该承诺中概述的原则：客户至上的紧迫性，透明和及时的通信以及持续的安全保障。

今天，我想提供一些更新，表明在履行承诺方面取得了持续进展。首先，我们现在发布了针对过去五年推出的100％英特尔产品的微代码更新，这些产品需要针对Google发现的旁道方法漏洞进行保护。作为其中的一部分，我想向所有与我们密切合作开发和测试这些更新的行业合作伙伴表示感谢并表示感谢，并确保它们已准备好投入生产。

现在可以使用这些更新，我鼓励大家确保他们始终保持系统最新。这是保持受保护的最简单方法之一。我还想借此机会分享我们在硬件级别所做的更多细节，以防止将来出现这些漏洞。这是我在最近的财报电话会议中承诺的。

虽然变体1将继续通过软件缓解来解决，但我们正在对我们的硬件设计进行更改以进一步解决其他两个问题。我们重新设计了处理器的各个部分，通过分区引入了新级别的保护，可以防止变体2和3。将这种分区视为应用程序和用户权限级别之间的额外“保护墙”，为不良角色创造障碍。