0
| 本文作者: 李勤 | 2018-08-16 17:31 |
8 月 16 日早間,雷鋒網(wǎng)曾報道,英特爾芯片發(fā)現(xiàn)新漏洞“預(yù)兆(Foreshadow)”,這是 2018 年初英特爾芯片被曝“熔斷”和“幽靈”漏洞之后的第三個重要漏洞。
據(jù)稱,這個漏洞可能讓攻擊者竊取存儲在計算機或第三方云上的信息,漏洞由一些研究人員發(fā)現(xiàn)并于1月向英特爾報告,該漏洞包括為 L1TF 或 L1 Terminal Fault 三個品種。隨后,研究人員又發(fā)現(xiàn)了兩個被叫做“Foreshadow-NG”的類似變體,會攻擊代碼、操作系統(tǒng)、管理程序軟件以及其它微處理器。
8 月 16 日,英特爾方面給雷鋒網(wǎng)發(fā)來了關(guān)于此漏洞的詳細說明。
在英特爾的說明中,這一漏洞不叫“預(yù)兆”,而被命名為 “L1 終端故障(L1 Terminal Fault,簡稱為 L1TF)”。
L1TF 是一種最近發(fā)現(xiàn)的推測執(zhí)行側(cè)信道分析的安全漏洞,會影響一部分支持英特爾軟件保護擴展的微處理器產(chǎn)品。與英國金融時報報道的“該漏洞由兩個研究團隊發(fā)現(xiàn)”不一樣的是,英特爾稱,“魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學和 Data61 的研究人員首次向我們報告了這個問題”,經(jīng)英特爾安全團隊進一步研究,他們發(fā)現(xiàn) L1TF 的另外兩種相關(guān)應(yīng)用還存在影響其它微處理器、操作系統(tǒng)和虛擬化軟件的可能。
這份說明還指出,L1TF 的三種應(yīng)用都是與預(yù)測執(zhí)行側(cè)信道緩存計時相關(guān)的漏洞。在這方面,它們與之前報告的變體類似。它們的目標是訪問一級數(shù)據(jù)高速緩存——這是每個處理器內(nèi)核中的一小塊內(nèi)存,用來存儲關(guān)于“處理器內(nèi)核下一步最有可能做什么”的信息。今年早些時候,英特爾發(fā)布了微代碼更新(MCUs),該更新是針對 L1TF 所有三種應(yīng)用的防御策略的重要組成部分,為系統(tǒng)軟件提供了一種清除該共享緩存的方法。除了這些微代碼更新,英特爾還發(fā)布了針對操作系統(tǒng)和管理程序軟件的相應(yīng)更新。
此外,英特爾稱,在硬件層面作出的改變也會抵御 L1TF,這些硬件層次的改變將首先應(yīng)用在下一代至強可擴展處理器(研發(fā)代號為Cascade Lake)以及預(yù)計今年晚些時候推出的全新個人電腦處理器上。
目前,英特爾方面還沒有收到這些漏洞被實際攻擊利用的報告。
附英特爾關(guān)于該漏洞的防御措施及修復(fù)建議:
在系統(tǒng)更新后,我們預(yù)計那些運行非虛擬化操作系統(tǒng)的消費者和企業(yè)用戶(包括大多數(shù)的數(shù)據(jù)中心和個人電腦)所面臨的安全風險會降低。基于我們在測試系統(tǒng)上運行的性能基準測試,我們尚未看到上述防御措施對性能產(chǎn)生任何顯著的影響。
針對另外一部分市場 —— 特別是運行傳統(tǒng)虛擬技術(shù)的細分領(lǐng)域(主要在數(shù)據(jù)中心領(lǐng)域),我們建議客戶或合作伙伴采取額外措施來保護其系統(tǒng)。這主要是為了在IT管理員或云服務(wù)商無法保證所有虛擬化操作系統(tǒng)都已安裝必要更新時,應(yīng)對并防護該種情況下可能出現(xiàn)的風險。這些措施可以包括啟用特定管理程序內(nèi)核調(diào)度功能,或在某些特定場景中選擇不使用超線程功能。這些額外措施可能只適用于相對較小的應(yīng)用領(lǐng)域,但對我們來說,為所有客戶均提供解決方案至關(guān)重要。
對于這些特定情況,某些特定負載上的性能或資源利用率可能會受到影響,并相應(yīng)發(fā)生變化。我們與行業(yè)合作伙伴正在研究多種解決方案來應(yīng)對這一影響,以便客戶可以根據(jù)自己的需求選擇最佳方案。為此,我們已經(jīng)開發(fā)了一種方法,以在系統(tǒng)運行期間即時檢測基于L1TF漏洞的攻擊,并僅在必要時才啟用防御措施。我們已經(jīng)為一些合作伙伴提供了具有這項功能的預(yù)覽版微代碼,以供他們進行評估試用,并希望在今后逐步推廣這一功能。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
