漏洞提要
一句話解釋:不修復該漏洞會導致低許可權應用訪問你的密碼等私密資料,修補這個漏洞會導致裝置效能 5% - 30% 的下降,IO 效能下降50%,編譯效能下降30%。
據 TheReg 報導,Intel 處理器的一項設計 BUG 近日披露,涉及從資料中心應用程式到 JavaScript 支撐的 Web 瀏覽器,作業系統則有 Windows、Linux、macOS等。
TPU稱,亞馬遜、微軟和谷歌是三個受影響最深的雲端計算廠商,如果漏洞被利用,那麼在同一物理空間的虛擬使用者A可以任意訪問到另一個虛擬使用者B的資料,包括受保護的密碼、應用程式密匙等。
漏洞影響
-
漏洞會導致低許可權應用訪問到任意記憶體區域,包括核心記憶體。
-
漏洞是硬體設計導致的,無法使用microcode修復,只能進行OS級的修復。
-
OS級的修復會導致嚴重的效能問題,將會導致5%-30%的效能下降。
-
目前 phoronix 已對此進行了測試,IO 效能近乎下降了50%,編譯效能下降了接近30%,postgresql 和 redis 也有差不多20%的效能下跌。
-
AMD不受此漏洞影響,應該股票會漲一波。
如何修復
- 晶片微碼更新不足以修復漏洞,必須修改系統或者購買新設計的 CPU
- 目前 Linux 解決漏洞的方案是重新設計頁表(KAISER 技術)。之前普通程式和核心程式共用頁表,靠 CPU 來阻止普通程式的越權訪問。補丁的方案是讓核心使用另外一個頁表,而普通程式的頁表中只保留一些必要的核心資訊(例如呼叫核心的地址)。這個方案會導致每次普通程式和核心程式之間的切換(例如系統核心呼叫或者硬體中斷)都需要切換頁表,引起 CPU 的 TLB 快取重新整理。TLB 快取重新整理相對正常指令來說是非常耗時的,因此會降低系統的效率。
- KAISER 技術對系統效能的影響一般是 5%,最高可達 30%。一些高階的晶片功能(例如 PCID)可以支援其他的修補方式,從而減少效能影響。Linux 已經在 4.14 版本的開發過程中新增了對 PCID 的支援。
- 在 Linux 系統中,KAISER 只有在受到影響的 CPU 型號上才會啟用,因此 AMD 晶片不受影響,且使用者可以通過手動修改補丁開關的方式關閉 KAISER。
修復進展
- Linux 社群的開發者們因此修改了 Linux 的虛擬記憶體系統,但是程式碼註釋被縮減,以隱藏漏洞的詳細資訊。
- Windows 預計在本週四釋出相關補丁,且補丁已經在去年十一月、十二月的 Windows Insider 版本中釋出給了測試使用者。
- macOS 也需要進行升級。
漏洞影響
- 根據 AMD 在 Linux 核心郵件列表裡傳送的郵件,AMD 晶片沒有發現這樣的漏洞
- 漏洞導致普通程式可以獲得受保護的核心頁表資訊,進而導致一些核心保護機制(例如 KASLR,即核心地址空間佈局隨機化)可能被攻破
- 微軟 Azure 雲服務將在 1 月 10 日進行維護並重啟,人們猜測可能是為了修復這個漏洞。
- Amazon Web Services 通過郵件通知客戶,本週五會有一次重要的安全更新。
漏洞後續
安全人員強調這是一個x86-64處理器的設計缺陷,已經存在了逾十年。不過,AMD不受影響。