Intel CPU 爆出安全漏洞:Windows / macOS / Linux 皆中招

漏洞提要

一句話解釋:不修復該漏洞會致使低權限應用訪問你的密碼等私密數據,修補這個漏洞會致使設備性能 5% - 30% 的降低,IO 性能降低50%,編譯性能降低30%。php

據 TheReg 報道,Intel 處理器的一項設計 BUG 近日披露,涉及從數據中心應用程序到 JavaScript 支撐的 Web 瀏覽器,操做系統則有 Windows、Linux、macOS等。linux

TPU稱,亞馬遜、微軟和谷歌是三個受影響最深的雲計算廠商,若是漏洞被利用,那麼在同一物理空間的虛擬用戶A能夠任意訪問到另外一個虛擬用戶B的數據,包括受保護的密碼、應用程序密匙等。redis

漏洞來源:lkml.org/lkml/2017/1…sql

漏洞影響

  • 漏洞會致使低權限應用訪問到任意內存區域,包括內核內存。瀏覽器

  • 漏洞是硬件設計致使的,沒法使用microcode修復,只能進行OS級的修復。緩存

  • OS級的修復會致使嚴重的性能問題,將會致使5%-30%的性能降低。 安全

  • 目前 phoronix 已對此進行了測試,IO 性能近乎降低了50%,編譯性能降低了接近30%,postgresql 和 redis 也有差很少20%的性能下跌。ide

  • AMD不受此漏洞影響,應該股票會漲一波。佈局

如何修復

  • 芯片微碼更新不足以修復漏洞,必須修改系統或者購買新設計的 CPU
  • 目前 Linux 解決漏洞的方案是從新設計頁表(KAISER 技術)。以前普通程序和內核程序共用頁表,靠 CPU 來阻止普通程序的越權訪問。補丁的方案是讓內核使用另一個頁表,而普通程序的頁表中只保留一些必要的內核信息(例如調用內核的地址)。這個方案會致使每次普通程序和內核程序之間的切換(例如系統內核調用或者硬件中斷)都須要切換頁表,引發 CPU 的 TLB 緩存刷新。TLB 緩存刷新相對正常指令來講是很是耗時的,所以會下降系統的效率。
  • KAISER 技術對系統性能的影響通常是 5%,最高可達 30%。一些高級的芯片功能(例如 PCID)能夠支持其餘的修補方式,從而減小性能影響。Linux 已經在 4.14 版本的開發過程當中添加了對 PCID 的支持。
  • 在 Linux 系統中,KAISER 只有在受到影響的 CPU 型號上纔會啓用,所以 AMD 芯片不受影響,且用戶能夠經過手動修改補丁開關的方式關閉 KAISER。

修復進展

  • Linux 社區的開發者們所以修改了 Linux 的虛擬內存系統,可是代碼註釋被縮減,以隱藏漏洞的詳細信息。
  • Windows 預計在本週四發佈相關補丁,且補丁已經在去年十一月、十二月的 Windows Insider 版本中發佈給了測試用戶。
  • macOS 也須要進行升級。

漏洞影響

  • 根據 AMD 在 Linux 內核郵件列表裏發送的郵件,AMD 芯片沒有發現這樣的漏洞
  • 漏洞致使普通程序能夠得到受保護的內核頁表信息,進而致使一些內核保護機制(例如 KASLR,即內核地址空間佈局隨機化)可能被攻破
  • 微軟 Azure 雲服務將在 1 月 10 日進行維護並重啓,人們猜想多是爲了修復這個漏洞。
  • Amazon Web Services 經過郵件通知客戶,本週五會有一次重要的安全更新。

漏洞後續

安全人員強調這是一個x86-64處理器的設計缺陷,已經存在了逾十年。不過,AMD不受影響。post

性能測試

IO 性能降低了50%

SSD 測試性能降低 15%

編譯性能降低了近30%

Postgresql 性能降低20%

Redis 性能降低20%

原文參考

相關文章
相關標籤/搜索