英特爾CPU被爆存在重大設(shè)計缺陷，幾乎所有現(xiàn)代CPU获诈，均不能幸免仍源。而修正這一缺陷的補(bǔ)丁軟件會影響到芯片性能，消息傳出后舔涎，英特爾股票在周三開市前下跌2%笼踩，老對手AMD的股票則在開市前大漲7%，目前亡嫌，英特爾回應(yīng)稱下周推送軟件和固件解決問題嚎于，媒體報道不正確掘而。

1月2日，Google Project Zero 在博客發(fā)文公布了一系列CPU漏洞信息于购，其中就包括在外網(wǎng)及云計算供應(yīng)商中引起軒然大波的 Meltdown：該漏洞由硬件設(shè)計引發(fā)袍睡，在同一物理空間的虛擬用戶A可以任意訪問到另一個虛擬用戶B的數(shù)據(jù)，包括受保護(hù)的密碼肋僧、應(yīng)用程序密匙等斑胜，該漏洞需要進(jìn)行OS級別修復(fù)，同時將導(dǎo)致嚴(yán)重的性能下降嫌吠。止潘。。

漏洞詳情

Meltdown 技術(shù)可以讀取Linux辫诅、Mac OS 的整個物理內(nèi)存和 Windows 的大部分物理內(nèi)存凭戴。Linux 內(nèi)核 2.6.32 ~ 4.13.0 的版本以及最新的 Windows 10 均受到影響。

可以讀取其他進(jìn)程的物理內(nèi)存炕矮。即使在使用內(nèi)核共享技術(shù)（例如 Docker, LXC）或者用 Xen 芯片的 paravirtualization 功能制作的沙箱中么夫，也可以讀取內(nèi)核或 hypervisor 內(nèi)存。

影響了大部分從 2010 年開始生產(chǎn)的Intel 芯片肤视。在 ARM 和 AMD 芯片上的實驗沒有成功档痪。

漏洞根本原因是“預(yù)測執(zhí)行”技術(shù)的設(shè)計缺陷。?

漏洞原理

為了提高處理效率钢颂，當(dāng)代處理器內(nèi)嵌有預(yù)測技術(shù)：通過預(yù)測下一條指令钞它，處理器可以填滿內(nèi)部流水線，充分發(fā)揮運作效率殊鞭。Intel的推測執(zhí)行(Speculative Execution)技術(shù)是業(yè)界標(biāo)桿水平，行業(yè)內(nèi)所有公司都在向Intel靠攏尼桶，但是這個漏洞說明Intel的推測性執(zhí)行在芯片內(nèi)部的訪存執(zhí)行單元Load/Store Unit和重排序緩沖區(qū)ROB上存在安全檢查漏洞操灿，導(dǎo)致操作系統(tǒng)核心的安全保護(hù)出現(xiàn)問題，使得用戶程序可以窺測內(nèi)核數(shù)據(jù)泵督，包括系統(tǒng)訪問歷史記錄趾盐，密碼等等隱私，同時會造成KASLR（Kernel Address Space LayoutRandomization小腊，內(nèi)核位址空間布局隨機(jī)化）的無效化救鲤，導(dǎo)致攻擊者可以推斷出內(nèi)核地址，進(jìn)而發(fā)動攻擊控制控制整個系統(tǒng)秩冈，造成嚴(yán)重的安全風(fēng)險本缠。受影響用戶包括服務(wù)器環(huán)境、PC環(huán)境和移動環(huán)境入问。

該漏洞使得攻擊者可以通過構(gòu)造一段代碼完成如下的利用過程：

使得一句需要訪問受保護(hù)內(nèi)存的指令本來永遠(yuǎn)無法達(dá)到丹锹，但是可能因為“預(yù)測執(zhí)行”而提前執(zhí)行稀颁。

該代碼根據(jù)受保護(hù)的數(shù)據(jù)內(nèi)容不同而訪問內(nèi)存中的不同位置。（例如如果 data 是想破譯的數(shù)據(jù)楣黍，那么 prob_array[data*4096] 會根據(jù) data 的不同而訪問不同的內(nèi)存頁）匾灶。

芯片發(fā)現(xiàn)權(quán)限不足，因此回滾之前的操作租漂，將狀態(tài)恢復(fù)到那條指令執(zhí)行之前的情況阶女。然而，CPU中的內(nèi)存緩存沒有回滾哩治。

攻擊程序檢測 prob_array 中的每個內(nèi)存頁取回數(shù)據(jù)的時間秃踩。如果某內(nèi)存頁的取回時間很短，說明該頁在緩存中锚扎，是之前剛剛訪問過的頁面吞瞪。從這個頁面的下標(biāo)就可以推斷出 data 是什么。

如何修復(fù)

目前該漏洞的解決方案方案只有兩個：進(jìn)行OS級別修復(fù)或者購買重新設(shè)計的CPU驾孔。至關(guān)重要的一點是芍秆，OS級別的修補(bǔ)措施會對 Linux 和 Windows 系統(tǒng)在Intel 處理器上的運行性能造成影響。

目前 Linux 系統(tǒng)已經(jīng)修復(fù)該漏洞翠勉，采用的方案被稱為內(nèi)核頁表分離妖啥。主要功能是通過KPTI（Kernel Page Table Isolation）完全分離系統(tǒng)內(nèi)核與用戶內(nèi)存，讓系統(tǒng)使用另外一個分區(qū)表对碌，使得用戶程序無法訪問系統(tǒng)內(nèi)核荆虱。

漏洞具體影響

1、性能影響：

KPTI會導(dǎo)致CPU頻繁地從內(nèi)核模式切換到用戶模式朽们，引發(fā)耗時的TLB緩存刷新怀读，拉低系統(tǒng)效能。根據(jù)初步測試骑脱，Intel CPU效能會降低5%-30%菜枷，相當(dāng)于回退1~2代。舉例來說叁丧，第八代的酷睿CPU打上補(bǔ)丁后的效能可能低于同檔次的第七代的酷睿CPU啤誊。

目前phoronix已對此進(jìn)行了測試，IO性能幾乎下降了50%拥娄，編譯性能下降了接近30%蚊锹，postgresql和redis也有差不多20%的性能下跌。

2稚瘾、個人用戶：

對于個人用戶來說牡昆，本次漏洞在大部分使用場景下的影響并不嚴(yán)重， CPU 性能下降帶來的換機(jī)需求除外......

3孟抗、云計算服務(wù)商：

本次的漏洞會影響所有的云廠商迁杨，包括但是不限于Amazon钻心、Microsoft、Google等巨頭铅协。

如果漏洞被利用捷沸，那么在同一物理空間的虛擬用戶A可以任意訪問到另一個虛擬用戶B的數(shù)據(jù)，包括受保護(hù)的密碼狐史、應(yīng)用程序密匙等痒给。讓人擔(dān)心的是，已經(jīng)有跡象表明有黑客在利用本漏洞攻擊云系統(tǒng)骏全。短期來看苍柏，云廠商的服務(wù)成本或有較大提升。

由于云平臺應(yīng)用了大量的虛擬化技術(shù)姜贡，這些補(bǔ)丁比針對個人電腦的補(bǔ)丁更為復(fù)雜试吁，由于云廠商的服務(wù)器擁有極高的數(shù)據(jù)吞吐，補(bǔ)丁對服務(wù)器系統(tǒng)效能的影響會比對PC更為嚴(yán)重楼咳。

目前他們是如何應(yīng)對的熄捍？

英特爾CEO科再奇(Brian Krzanich)日前表示，谷歌是第一家向英特爾發(fā)出漏洞警告的公司母怜，谷歌隨后會發(fā)布完整的報告余耽，目前，受影響的各家已經(jīng)行動起來苹熏。

微軟公司在聲明中表示：“我們了解到這個影響整個行業(yè)的問題碟贾，而且與芯片廠商展開了密切合作，開發(fā)和測試各種方法來保護(hù)我們的用戶轨域，我們正在向云服務(wù)中部署解決方案袱耽，還發(fā)布了安全更新，這一漏洞會對英特爾干发、ARM和AMD等公司的硬件產(chǎn)生影響扛邑，我們尚未收到任何關(guān)于利用該漏洞攻擊用戶的消息☆砣唬”

此外，亞馬遜宣布恶座，旗下云服務(wù)中的彈性計算云系統(tǒng)（EC2）已修補(bǔ)相關(guān)漏洞搀暑，剩余的部分將在幾小時內(nèi)被修復(fù)，并提醒用戶需要為操作系統(tǒng)打補(bǔ)丁跨琳。

還有業(yè)內(nèi)人物表示自点，蘋果系統(tǒng)尚不會受到影響，他們早在去年12月的macOS 10.13.2中就已經(jīng)從一定程度上解決了這個問題脉让。

4桂敛、運維工程師：

對于運維工程師而言功炮，當(dāng)務(wù)之急是將Linux系統(tǒng)內(nèi)核升級至最新版，防止即將到來的一大波攻擊术唬。

未來一段時間服務(wù)器性能下降不可避免薪伏，運維工程師需要提前做好準(zhǔn)備。

最后粗仓，附上英特爾的聲明全文：

英特爾和其他科技公司已經(jīng)了解了新的安全研究結(jié)果嫁怀，其中描述了一些軟件分析方法。一旦遭到惡意使用借浊，這些方法就有可能地從正常運轉(zhuǎn)的計算設(shè)備中不當(dāng)收集敏感數(shù)據(jù)塘淑。英特爾認(rèn)為這些漏洞不會破壞、修改或刪除數(shù)據(jù)蚂斤。

最近有報道稱存捺，這些漏洞是由專屬于英特爾產(chǎn)品的“漏洞”或“缺陷”造成的。這種說法并不正確曙蒸。從目前為止的分析來看捌治，許多類型的計算設(shè)備（包括采用許多不同供應(yīng)商提供的處理器和操作系統(tǒng)的設(shè)備）都很容易受到這些問題的影響。

英特爾致力于提升產(chǎn)品和客戶的安全逸爵，并與包括AMD具滴、ARM和多家操作系統(tǒng)供應(yīng)商在內(nèi)的許多其他科技公司密切合作，以開發(fā)一種全行業(yè)的方法來迅速而有建設(shè)性地解決這個問題师倔。英特爾已經(jīng)開始提供軟件和固件升級构韵，以減輕這些漏洞的影響。與一些報告相反趋艘，任何性能影響都取決于工作負(fù)載疲恢，對于普通的計算機(jī)用戶來說，感受應(yīng)該并不明顯瓷胧，而且會隨著時間的推移而減輕显拳。

英特爾致力于以業(yè)內(nèi)最負(fù)責(zé)任的做法來披露潛在安全問題，這也是英特爾與其他供應(yīng)商計劃在下周公布更多的軟件和固件更新的原因搓萧。然而杂数，由于目前的媒體報道不夠準(zhǔn)確，所以英特爾公司選擇在今天發(fā)表這一聲明瘸洛。

請與您的操作系統(tǒng)供應(yīng)商或系統(tǒng)制造商聯(lián)系揍移，并盡快使用任何可用的更新。遵循良好的安全習(xí)慣反肋，全面防范惡意軟件那伐，也有助于在獲得更新之前防止可能出現(xiàn)的問題。

英特爾相信，我們的產(chǎn)品是世界上最安全的產(chǎn)品罕邀，而在合作伙伴的支持下畅形，目前針對該問題出臺的解決方案也為客戶提供了最好的安全保障。