关于intel CPU安全漏洞的解析
最近CPU方面出了一个大新闻——那就是intel处理器设计漏洞的问题。正好我的工作单位由于企业网络各种系统的增加以及系统数据的不断增多,不得不需要对企业服务器的硬件进行升级,购进新服务器设备,然而intel这么一出,着实让我们这些IT技术人员有点蒙蔽。
整个事件目前还存有一些疑点,并涉及诸如系统内存分配等比较专业的方面,如果想要完全深入的探讨可能会显得比较的生涩。所以我会尽量用比较通俗易懂的语言来说明。
--起始--
整件事的起始还是得从Linux系统的更新说起。
近几周,Linux内核的开发人员对内核的虚拟内存子系统进行了重大修改。通常情况下,对于内核这么关键部位的修改,通常是要经过数月甚至是数年的讨论。而在修改的更新日志中对于具体修复了什么也是显得含糊其辞。其中的代码被缩减,隐藏掉了漏洞的详细信息,这不禁让人产生了怀疑。
不过呢,经过这几天各路媒体和大神的相继曝光,相关企业也站出来进行了澄清。整个事情基本可以说是水落石出了,我帮大家收集整理了一些资料。
本次安全漏洞分为2个:
Meltdown(熔断) & Spectre(幽灵)
--熔断--
Meltdown可以允许低权限、用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。在测试中,通过此漏洞从系统内存下载的速度高达503KB/s,错误率低至万分之二,后果可以说是相当的严重。
影响范围:
理论上来说,1995年之后的全部Intel处理器(除了IA-64架构的安腾和极少数老Atom)都受到影响,包括最新的8700K等处理器都无一幸免。AMD和ARM的内存管理结构和Intel不一样,因此躲过一劫。
修复方法:
这是一个硬件层面的漏洞,两个解决方案。
1.通过系统层级进行修复,或者用一个更确切的词是去规避这个漏洞。因为你只能去阻止这个漏洞的发生,而不能从根本上解决掉这个漏洞,此为治标。这个方法有副作用,会影响性能。一些高级的芯片功能(例如 PCID)可以支持其他技术,从而减少性能影响。
2.更换新的修复了此设计的CPU,此为治本。
--幽灵--
Spectre则是可以骗过安全检查程序,使得应用程序访问内存的任意位置。理论上比Meltdown的后果更为严重,但因为其条件更为苛刻,读取内存的速度也仅为2000字节每秒,更难以被利用的同时,也更难以被修复,会困扰我们很长一段时间,所以专家们才给他这么一个中二的名字和形象。
影响范围:
Spectre是一个地图炮,包括Intel、AMD、ARM全部的处理器在内无一幸免。也就是说全球的所有电脑,云服务和移动设备都会受到影响。
修复方法:
目前还没有可行性的修复方法……只有防止被利用的方法。
对此我个人的理解是,虽然说这个漏洞的波及范围更大,理论上的后果更严重。但是因为其条件苛刻并且利用困难,所以目前的大神们应该都在忙着解决那个更为火烧眉毛的Meltdown,所以这个小幽灵就暂时是被搁置在一边啦~
--总结--
一、本次的漏洞分为两个,Meltdown(熔断)和Spectre(幽灵)。Meltdown只出现在Intel的处理器上,Spectre则波及包括Intel,AMD和ARM在内的全部处理器;
二、受到Meltdown影响的电脑,可以通过系统级的补丁进行修复,但会受其影响降低性能,根据不同的情况在0~50%之间,大部分在5%~20%之间;
三、Meltdown打补丁后对游戏性能几乎没有影响;
四、Meltdown主要影响的是企业用户和云服务厂商,对普通消费者的需求没什么影响;
五、Spectre目前无解,只有防止被利用的方法;
六、目前都只是概念验证的漏洞利用,并没有实际利用案例;
七、Intel损失最为惨重,得罪了最重要的企业用户和云服务商。至于召回那是几乎不可能的,并且最新的九代U已经是提上了日程发布在即,有木有根本上修复漏洞都尚未可知。
八、对于企业和云服务的用户,打了补丁性能损失肯定是有的,或多或少的问题。