英特尔ZombieLoad漏洞迫使操作系统补丁具有高达40%的性能命中率
当安全研究人员在2018年1月披露了一系列影响英特尔处理器的主要漏洞时,很明显“熔化”和“幽灵”确实很严重- 而且不会是多线程芯片的唯一漏洞。现在,一个绰号为“ZombieLoad”的新英特尔芯片漏洞已经向公众披露,虽然它已经被三大操作系统制造商修补,但有一些坏消息:全面保护可以将CPU的性能降低多达40%。
ZombieLoad漏洞利用更多技术名称“微架构数据采样”,使攻击者可以跨信任边界访问特权数据。在云托管环境中,它可以使一个虚拟机不正确地访问另一个虚拟机的信息;研究人员还表明,它可用于应用程序监控和密码获取。该漏洞广泛影响在英特尔芯片上运行的操作系统,包括Android,Chrome,Linux,macOS和Windows。
在刚发布的支持文档中,Apple建议完整的ZombieLoad缓解将要求英特尔芯片用户禁用英特尔的超线程处理功能 - 这是该芯片制造商CPU的主要卖点。在本月测试期间,Apple表示它发现“包括多线程工作负载和公共基准测试在内的测试性能降低了40%”,但实际性能影响因机器而异。
由于性能急剧下降,Apple已经在macOS Mojave 10.14.5中实现了部分缓解,让用户决定是否要禁用超线程以获得全面保护。如果是这样,支持文档提供终端命令以关闭和打开该功能,特别是包括要求机器在恢复模式下启动以禁用芯片功能。
谷歌和微软(通过TechCrunch)也开始修补基于英特尔的操作系统。在谷歌的情况下,Chrome OS设备已经获得了一些保护,并将在下一个操作系统版本中获得更多;仅限英特尔的Android设备很少见,但一旦设备制造商部署它们,它将接收操作系统补丁。微软目前正在发布针对Windows的补丁,并且已经保护了Azure用户。一些微码处理器更新将直接来自Microsoft,而其他来自设备制造商。
ZombieLoad问题显然是在一个月前向英特尔公布的,并且影响了自2011年以来生产的所有英特尔处理器。据信AMD和ARM的芯片不容易受到这个漏洞的影响。根据供应商的说法,目前还没有已知的漏洞现实漏洞,尽管研究人员只是说他们不知道它是否在野外被滥用。
太平洋时间下午12:45更新:讨论漏洞的英特尔页面淡化了性能影响,表明性能影响很小:在不禁用超线程的情况下高达3%,在禁用超线程时高达8-9%,虽然附带的图表显示使用最新的高端英特尔酷睿i9-9900K处理器更微小的变化。
英特尔强调,对于某些用户来说,禁用超线程并不是必需的:因此,除非对于给定客户的工作负载和安全环境是必要的,否则它表示“不建议禁用英特尔HT,并且了解这样做很重要所以不单独提供对MDS的保护。“