英特爾、谷歌和AWS回應CPU安全事件：AMD和ARM也有問題，影響巨大

譯者 核子可樂 Debra Natalie

編輯 Vincent Tina

AI 前線導讀：英特爾公司指出，將於下周發布的 CPU 漏洞補丁基本不會給普通用戶造成任何影響。另外，英特爾亦將此項 bug 定位為全行業範圍內的大事件。

就在本周三下午召開的電話會議上，英特爾公司發布更多與此次 CPU 內核漏洞相關的消息，並將其正式定名為「旁路分析利用」。該公司高管表示，相關補丁即將在接下來的數周內發布。另外，儘管大多數普通 PC 用戶幾乎不會因此受到影響，但這批補丁確實會帶來令人沮喪的性能降級後果，具體水平約在 0% 到 30% 之間。

英特爾、谷歌、AWS三家大廠隨後接連發文回應，稱此次bug事件影響範圍較大，一直堅稱自己沒受影響的AMD也被谷歌發現了問題。

英特爾方面解釋稱，其已經向 ARM、AMD 以及其它多家操作系統供應商報告了此項漏洞。該方同時強調，該漏洞最初是由谷歌公司的 Zero 項目安全小組所發現，這一說法也得到了谷歌方面的證實。

英特爾公司指出，其將發布微代碼更新以解決此項問題，而隨時間推移這些修復補丁中的一部分亦將被引入硬體當中。

據英特爾所說，本來他們是計划下周當軟體和固件都比較完善的時候向用戶披露這個信息的，但是由於媒體的報道不準確，引起輿論嘩然才讓其不得不提前發布聲明。在回應時，Intel 表示，這些漏洞不存在被攻擊、修改或刪除數據的可能，還表示媒體報道此「漏洞」或「缺陷」是英特爾的產品獨有的問題這一說法是不準確的。基於目前為止的分析，許多類型的計算設備（不同供應商的處理器和操作系統）也很容易受到這些攻擊。

微軟公司拒絕就此事發表評論，不過預計微軟也將推出自己的對應補丁。此外，AWS、谷歌公司也發布了自己的報告（見下文）。

意味著什麼: 就目前來講，我們可以看到各大主要晶元與操作系統供應商已經意識到問題的存在，並努力發布修復程序。第一款補丁很可能被納入微軟的新一輪補丁周二發布。目前還不清楚這批補丁會影響到多少不同類型的軟體與 CPU 架構，也不明確具體將給 PC 性能造成怎樣的影響。

但是，補丁帶來的影響會不會比安全問題本身更令人難以接受？根據初步報道，取決於具體任務與處理器型號的不同，PC 用戶可能因此遭遇「5% 到 30% 之間的性能衰減」。

英特爾方面似乎堅信普通用戶不會受到任何負面影響。其在一份聲明中指出：「與一部分報道相反，任何潛在的性能影響都將取決於實際工作負載。而對普通計算機用戶而言，其不會產生任何顯著的影響，且性能衰減將隨時間推移而得到緩解。」

英特爾公司進一步作出解釋，即「具體取決於實際工作負載」，但客戶仍然無法藉此對影響作出準確的判斷。

高管們表示，英特爾公司在研究這項漏洞的影響時，並沒有將客戶 PC 與數據中心伺服器區分開來。事實上，普通用戶所使用的應用程序可能遭受 0% 到 2% 的性能影響，但調整依賴應用程序與操作系統間交互的綜合性工作負載則可能遭遇最高 30% 的性能衰減。

我們可以做點什麼？

英特爾公司給出的建議是補丁、補丁、還是補丁。相信大家已經對這樣的陳詞濫調非常熟悉：「請諮詢您的操作系統供應商或系統製造商，並儘快應用所有可用更新。遵循良好的安全措施以防範惡意軟體，這將有助於預防可能的惡意利用活動直到更新工作全面完成。」

機器學習會受到影響嗎？

據部分專家分析，這取決於集成模型，對模型每個部分的調用都可能產生影響。此外，生成一個新程序將產生新的開銷，內存釋放 / 分配演算法將更複雜，而 CPU 處理器將成為深度學習 GPU 圖像載入的瓶頸。

谷歌回應：Chrome 瀏覽器將受影響，請按操作更新

谷歌公司則報告稱，其 Chrome 瀏覽器將受到影響，但用戶可以採取兩步走解決戰略：首先，確保您的瀏覽器更新至版本 63; 其次，可以啟用一項名為站點隔離的可選功能，從而將各站點隔離在獨立的地址空間內。此可選項目可在 chrome://flags/#enable-site-per-process 當中開啟。最後，計劃於今年 1 月 23 日發布的 Chrome 64 將能夠保護用戶免受旁路攻擊的侵擾。

受影響設備完整清單如下：

以下未明確列出的所有 Google 產品都不需要用戶進行操作。

Android

• 最新安全更新的設備受到保護。此外，目前我們還未發現此漏洞成功再複製，即未經 ARM Android 設備的授權泄露信息。

• 最新安全更新的 Nexus 和 Pixel 設備受到保護。

Google Apps / G Suite（Gmail，日曆，雲端硬碟，網站等）：

• 無需額外的用戶或客戶操作。

谷歌瀏覽器：

• 一些用戶或客戶需要採取措施。

Google Chrome 操作系統（例如 Chromebook）：

• 需要一些額外的用戶或客戶操作。

Google 雲端平台

• Google App 引擎：無需額外操作。

• Google 計算引擎：需要一些額外操作。

• Google Kubernetes 引擎：需要一些額外操作。

• Google Cloud Dataflow：需要一些額外操作。

• Google Cloud Dataproc：需要一些額外操作。

• 所有其他 Google 雲產品和服務：無需其他操作。

• Google 主頁 / Chromecast：無需額外操作。

• Google Wifi / OnHub：無需額外的用戶操作。

具體操作請參考：

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

亞馬遜回應：此 bug 已存在 20 余年，發布新版 Linux 系統

昨日，亞馬遜也作出回應，稱這個 bug 其實是 Intel、AMD 等現代處理器存在了 20 多年的問題，目前亞馬遜 MC2 fleet 只有一小部分產品是可以抵禦攻擊的，在未來的幾小時之內將會被修復。

Amazon Linux 存儲庫中提供了更新的 Amazon Linux 內核。2018 年 1 月 3 日下午 10:45（GMT）之後使用默認的 Amazon Linux 配置啟動將自動包含更新的軟體包。Amazon Linux AMI 用戶可以運行以下命令，確保收到更新的軟體包：

https://alas.aws.amazon.com/

旁路分析利用是什麼？

根據英特爾方面的說法，攻擊者可以通過觀察高許可權內存中的內容利用名為「推測性執行」的 CPU 技術規避必要的許可權級別約束。如此一來，攻擊者將能夠訪問其正常情況下無法訪問的數據。不過英特爾公司表示其無法對數據內容進行刪除或者修改。

事實上，英特爾與研究人員們發現了三種漏洞利用變種，分別為「邊界檢查旁路」、「分支目標註入」以及「流氓數據載入」，三者在具體攻擊手段方面略有不同。但通過操作系統更新，三種問題都能夠得到有效緩解。

英特爾公司工程技術負責人 Steve Smith 報告了這一重要發現，並補充稱目前還沒有觀察到對該項漏洞的任何實際利用行為。他同時否認了此項漏洞屬於缺陷的說法，亦不承認其出現是為了專門針對英特爾。在本次電話會議上，Smith 向投資者們強調「處理器的運作方式仍然嚴格遵循我們的設計預期。」

Smith 同時表示，這一發現敦促全球各硬體製造商以「負責任的方式」應對此項漏洞。

這是一個影響到全行業的問題

前文提到的各家企業已經計劃在未來一周內陸續發布相關補丁。而英特爾方面則表示，其提前作出評論的原因在於「目前存在諸多不夠準確的媒體報道」——但需要強調的是，晶元巨頭的聲明當中並沒有對這些報道作出任何否定。英特爾只是首先向媒體發布了一份聲明，而後即召開電話會議。

英特爾公司指出，「英特爾與其它技術企業已經意識到用於描述軟體分析方法的新型安全研究成果一旦出於惡意目的而遭利用，可能導致從計算設備上收集敏感數據。」

英特爾公司認為，此項漏洞與其它類型架構同樣存在密切關聯——這裡所指的肯定是 AMD（儘管其否認自家晶元會因此受到影響）以及作為大多數智能手機核心的 ARM。除此之外，另有幾家廠商以及操作系統供應商的產品「易受影響」。

微軟公司的一位發言人在接受郵件採訪時解釋稱，「我們已經意識到這一影響整個行業的問題，並一直與晶元製造商開展密切合作，旨在開發並測試緩解措施以保護我們的客戶。我們正在為雲服務部署緩解措施，同時亦發布了對應安全更新，希望保護 Windows 客戶免受英特爾、ARM 以及 AMD 支持型硬體晶元內相關漏洞的影響。」

AMD 方面否認其處理器產品受到影響，並在採訪中強調稱目前 AMD 處理器所面臨的風險「幾乎為零」。

英特爾則試圖解釋其為何沒有主動站出來曝光問題——晶元巨頭宣稱，就在此次消息傳出之時，其幾乎已經完成了漏洞的內部解決。英特爾公司指出，「我們致力於通過負責任的方式披露安全問題，也正因為如此，英特爾與其它供應商才計劃在下周公布相關軟體與固件更新時正式披露這一問題。」

英特爾回應存疑，網友不買賬

雖然官方做出了回應，但是網友們似乎並不買賬，大多數網友對這一回應都持懷疑的態度，認為英特爾不夠誠實，這樣的做法是自欺欺人。知名社交網站 Reddit 上有關英特爾的討論同樣在如火如荼進行著，除了瘋狂 diss 英特爾之外，也有網友給出了自己的分析。

我們摘錄了部分網友的討論內容：

網友觀點一：對於有獨立數據中心的企業來說可能沒太大影響，因為他們不會受到這個漏洞帶來的安全問題影響，因此肯定會在沒有內核補丁的情況下繼續運行他們的數據中心。但對於學術研究人員來說，這可能（會？）確實是一個更大的問題，因為他們通常不管理自己的內核，而是雲上運行計算任務。不過 CPU 一般很少成為性能瓶頸，現在大多數 BLAS 密集型計算是在 GPU 上完成的，數據集通常被完全載入到 RAM 中，而在現代庫中不會經常產生新的線程。

網友觀點二：這幾乎肯定會導致產品召回，並最終從 Linux 內核中刪除該內核補丁。

網友觀點三：

幾乎所有在過去 20 年中生產的英特爾處理器都受到了影響，許多目前還有人在使用的處理器很可能早已停產，並且沒辦法快速生產出可以兼容的主板。英特爾可能會召回最近的一款處理器，但是全面召回受影響的處理器將需要數年時間，甚至可能導致公司破產。所以用戶只能繼續忍受這個內核補丁，直到購買一個新的處理器，由於這個問題補丁導致的性能下降，可能得比計劃更早去購買新處理器。也許英特爾會給因為這個原因購買新晶元的客戶適當的折扣，以恢復客戶對他們的信任。

網友觀點四：或許是時候該買點 AMD 的股票了。

網友觀點五：

或者賣掉 Intel 的股票。

https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx（英特爾的 CEO 在 12 月中下旬賣掉了大量英特爾的股票）

網友觀點六：他不僅賣掉了一堆股票，而且還賣掉了所有可以賣出的股票（附例說 CEO 必須擁有 25 萬股股票——於是他把 25 萬股以外的股票全賣掉了......）

網友觀點七：這可能就是為什麼微軟發布了一個通知，說 Azure 中的一些虛擬機必須先重啟，否則將會在 1 月 10 日自動重啟。 當然，這可能只是標準的維護，因為它不像他們發布大量的信息。補充：這下有趣了，微軟剛剛發出了警告，強制要求所有還沒重新部署的人立即重新部署。看來是因為 Project Zero 剛剛發布的消息：

https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

網友觀點八：我不是這方面的專家，但是這聽起來像是跳過了數據結構的邊界檢查——檢查肯定會花費更多時間和資源，如果你確信檢查是不必要的，那麼直接省略這個步驟可以節省時鐘周期。

這聽起來像是和推測執行有關。如果你正在推測性地執行一條指令，那麼你最終可能會捨棄它的結果，所以執行這個指令花費的代價越少越好。也許英特爾認為他們可以在推測執行的時候跳過priv檢查，如果最終發現確實需要這條指令，就在實際執行結果之前執行指令。 然而，也許事實證明，這種推測性執行打開了一些通過後門獲取數據的方法，比如通過緩存、定時等等，如果異常提前被發現，這個問題就不會暴露了。

網友觀點九：這個修復補丁對於性能到底有多大影響會根據具體的計算任務而有所不同，但不可能全部是 34％。這個補丁確實會損害內核的上下文切換性能。如果你的應用程序一直在做大量的系統調用，這對你的性能影響可能會非常大。然而，直到我們真的看到實際的案例，才能真正了解影響到底有多大。

網友觀點十：這裡有兩篇文章，他們在集成並啟用了該修復補丁的 Windows 10 Insider 上進行了測試，測試結果顯示，普通用戶其實無需擔心。在合成、實際工作負載以及遊戲中的 CPU 性能基本未受影響，基準測試中的差異都還在誤差範圍內。可能唯一有影響的是使用了 NVMe 驅動的用戶，比如 960 Pro 這種速度非常快的驅動器，性能損失約 5％，對大多數人來說可以忽略不計。而像基於 NVME 和 SATA 的 SSD，性能損失幾乎為 0%，因為這些驅動器的速度沒有快到會被影響到。

7700K + 1080 Ti：

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update2

3930K + 1080 Ti：

https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-kaempft-mit-schwerer-sicherheitsluecke-im-prozessor-design.html

網友觀點十一：欸等等，AMD 也被報告「不安全」？ 哦，哦，哦，是修復補丁把 AMD 視為不安全，而不是 AMD 實際上不安全。補充：Bug 不會影響 AMD。 但顯然，他們正在向所有架構都推送補丁，而不只是英特爾，這又反過來影響了 AMD 的性能。也許在經過全面測試之後，AMD 會回滾到打補丁之前的版本。補充吐槽：簡直是天才，當你出了問題，就強制讓別人也出問題。

網友觀點十二：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！