關於 CPU 推測執行漏洞，您須要知道這些

推測執行 (speculative execution) 是當今主流處理器（包括 AMD、ARM 和 Intel）中普遍採用的一項優化技術。其基本思路是利用處理器的空閒時間提早執行一些未來 「可能用得上，但也可能被放棄」 的計算（包括分支預測、預讀內存和文件數據），從而極大提高系統的總體運行速度。然而咱們發現這項優化技術可能存在漏洞，進而威脅用戶數據安全。本文將爲你們介紹事件脈絡，並闡述咱們至今爲保護你們的數據安全所作的努力和成果。

背景

去年，咱們的 Project Zero 團隊發現了由 「推測執行」 引發的嚴重安全漏洞，這是大多數現代處理器 (CPU) 用來優化性能的技術。

Project Zero 的研究人員 Jann Horn 展現了一些可能的進攻場景：惡意行爲者能夠利用推測執行來讀取本應沒法被訪問的系統內存。例如，未經受權方可能會讀取系統內存中的敏感信息，如密碼、加密密鑰或是在應用中打開的敏感信息。測試還代表，在虛擬機上運行的攻擊可以訪問主機的物理內存，並經過這種方式得到同一物理主機上其餘虛擬機的內存讀取權限。

這些漏洞會影響許多 CPU，包括來自 AMD、ARM 和 Intel 的 CPU，以及運行在其上的設備和操做系統。

在得知了這個新的攻擊類型後，咱們的安全和產品開發團隊便當即行動起來，捍衛 Google 的系統安全和用戶數據。咱們已經更新了受影響的系統和產品，以阻止這種新型的攻擊。咱們還與整個行業內的硬件和軟件製造商合做，幫助保護用戶和更廣義的網絡安全。這些努力包括協做分析和開發全新的應對方法。

因爲現有的公開報道以及新聞和安全研究領域對這個問題的猜想愈來愈多，這可能會致使這種新型的攻擊方法被更多人惡意利用，所以咱們沒有在原定計劃的 2018 年 1 月 9 日，而是提早了一些時間進行發佈（本文原文在 2018 年 1 月 3 日發表於 Google Security Blog，本文結尾處有完整連接）。

Google 產品的應對狀態

下面咱們列出了受影響的 Google 產品列表及其對此攻擊的應對狀態。因爲這是一種新的攻擊類型，咱們的補丁狀態指的是咱們爲防範目前已知的缺陷和進攻方式所採起的措施。這些措施已經在不少產品中起到了顯著效果（甚至某些產品中從一開始就不存在推測執行漏洞）。在某些狀況下，用戶和客戶可能須要採起額外的操做步驟來確保他們使用的是安全的產品版本。這個列表和其中的產品狀態可能會隨着新的進展而變化。屆時咱們也會更新這個列表，並告知你們。

如下未明確列出的 全部Google 產品都不須要用戶或客戶進行操做。

Android：

• 擁有最新安全更新的設備已受保護。雖然這個漏洞可能形成基於 ARM 的 Android 設備信息泄露，但在咱們的更新後未發現這個漏洞再次出現。

• 安裝了最新安全更新的受支持的 Nexus 和 Pixel 設備已受保護。

• 更多信息請見

Google Apps / G Suite ( Gmail, Calendar, Drive, Site 等 ) :

• 無需額外的用戶或客戶操做。

Google Chrome：

• 一些用戶或客戶須要採起操做。更多信息請見

Google Chrome OS ( 如 Chromebook ) :

• 須要一些額外的用戶或客戶操做。更多信息請見

Google Cloud Platform：

• Google App Engine：無需額外的客戶操做。

• Google Compute Engine：須要一些額外的客戶操做。更多信息請見

• Google Kubernetes 引擎：須要一些額外的客戶操做。更多信息請見：

• Google Cloud Dataflow：須要一些額外的客戶操做。更多信息請見

• Google Cloud Dataproc：須要一些額外的客戶操做。更多信息請見

• 全部其餘 Google Cloud 產品和服務：無需其餘操做。

Google Home / Chromecast：

• 無需額外的用戶操做。

Google Wifi / OnHub：

• 無需額外的用戶操做。

漏洞的攻擊方法及對策

要利用此漏洞，攻擊者首先必須可以在目標系統上運行惡意代碼。

Project Zero 的研究人員發現了三種在不一樣條件下有效的攻擊方法（即 「變種」 ）。全部這三種攻擊方式均可以容許擁有普通用戶權限的進程執行未經受權的內存數據讀取，這些數據可能包含密碼、密鑰資料等敏感信息。

爲了提升系統的運行性能，許多 CPU 可能會選擇基於被認爲可能成立的假設來推測性地提早執行指令。在推測執行期間，處理器也會驗證這些假設：若是它們成立，則繼續以前執行的操做；若是它們不成立，則回滾以前執行的操做，並根據實際狀況轉向正確的執行路徑。這種運行機制可能存在分支解除時沒有回滾 CPU 狀態而產生反作用，而且致使信息泄露。

對於三個攻擊變種沒有單一的解決方案：每一個變種都須要獨立的保護措施。許多供應商都提供了補丁，可用於應對一種或多種的此類攻擊。

咱們將繼續應對此漏洞，並會在發佈進一步措施時更新咱們的產品支持頁面。同時，感謝全部合做夥伴和 Google 工程師，在過去幾個月裏不知疲倦地爲咱們的用戶和客戶提供了安全支持。

> 本文的英文原連接

> Project Zero 關於此漏洞的完整報告請使用以下連接查看

> Google 針對此漏洞的全部產品應對狀態清單請使用以下連接查看

但願這篇文章能夠幫助您瞭解到您在使用 Google 工具及服務面對漏洞時的狀態及應對舉措。若是您還有與此相關的疑惑及問題， 歡迎在咱們的公衆平臺留言，咱們將收集有表明性的問題，請 Google 工程師作出解答，並會在下一期的 「Android 開發者 FAQ」 專題文章中統一回復你們。