一句話說透英特爾史詩級漏洞

「我拿著假的錄取通知書去拿宿舍鑰匙，我雖然會被發現是假冒的，但是在這一過程中，我會發現相應學號對應的相應宿舍。這樣，我就能推測出不同專業的學生住在哪了。」

——可能是目前為止關於英特爾晶元安全漏洞最易懂的解釋

2018年伊始，整個IT界陷入了英特爾 CPU漏洞帶來的恐慌之中。

這次「史詩級」CPU「漏洞門」危機全球。在中國，上海、天津等地的網信辦部門已經發出預警通報，要求相關單位啟動網路安全應急預案，並採取應對措施。

專家認為，此次「漏洞門」對雲服務廠商造成較大影響，而對個人影響較小，安裝補丁後，性能損失有限。不過因為應對及時，業內人士對這一事件均保持樂觀態度。

雲服務提供商通常大量依賴虛擬化技術，很多雲服務主機實際上是將每個CPU線程通過虛擬機的形式出租出去。比如通過虛擬機，可以在一台計算機上虛擬出十幾台互相可以獨立操作的計算機系統。「過高依賴CPU內核的虛擬化技術和主要以訪問外部I/O（輸入輸出）設備為主的使用場景，使得在此次的安全風險中，雲服務廠商受到的影響較大。」業內人士趙曉峰（化名）說道。

那麼具體是如何影響的呢？趙曉峰打比方說：「我拿著假的錄取通知書去拿宿舍鑰匙，我雖然會被發現是假冒的，但是在這一過程中，我會發現相應學號對應的相應宿舍。這樣，我就能推測出不同專業的學生住在哪了。」

也就是說，利用Meltdown漏洞，低許可權用戶可以訪問內核的內容，獲取本地操作系統底層的信息；當用戶通過瀏覽器訪問了包含Spectre惡意利用程序的網站時，用戶的個人隱私信息可能會被泄露。

個人信息的泄露尚且有限，對於搭載英特爾晶元的企業用戶而言，若是商業機密遭泄露，那無疑是致命的。在雲服務場景中，利用Spectre漏洞可以突破用戶間的隔離，竊取其他用戶的數據。「雲服務中的用戶隔離是雲安全的基石，Spectre漏洞突破雲服務中用戶隔離的能力可以對雲服務產生致命的危害。」騰訊安全玄武實驗室負責人於暘解釋道。

目前國內雲服務廠商反應相當迅速，紛紛在第一時間拿出解決方案。阿里雲表示，解決該安全隱患的完整修復方案包含兩個部分，一是雲平台虛擬化宿主機修復，二是客戶側的操作系統更新。目前，阿里雲已經啟動了雲平台底層基礎架構的漏洞修復更新，最遲於北京時間1月12日24點之前完成。百度雲方面對《IT時報》記者表示，在發現問題的第一時間啟動應急措施，積極推進漏洞修復。「對於虛擬機系統，根據各個系統的osvc(智能桌面虛擬化)，廠商做的修復及時更新，用戶只需要及時更新補丁即可。雲平台的物理機層面，將於2018年1月12日零點進行熱修復升級。」百度雲方面稱。

騰訊、華為、金山、微軟、京東等雲服務廠商均發布了相關通知，進行平台安全升級。不過業內人士認為，為了防禦這兩組漏洞，雲廠商需要更新硬體設備，升級操作系統，這必將帶來服務成本的上升。

雖然英特爾的CPU漏洞已經存在20年之久，影響面十分廣泛，但是截至目前，尚未發現相關攻擊案例。

於暘表示，這是因為發起攻擊的難度比較大，「由於此漏洞是CPU硬體級別的，對這類漏洞的研究需要很深的專業知識，門檻比一般的軟體應用漏洞挖掘要高很多。同時由於這兩組漏洞只會造成信息泄露，不依靠其他漏洞很難發起完整的遠程攻擊。」

「側信道攻擊（英特爾將此次被利用漏洞的攻擊稱為測信道攻擊Side Channel attack）其實不是現在才有的，但CPU漏洞無疑提高了被攻擊後的風險，使攻擊者獲得更多數據。但是這一切的前提是，之前一系列操作都沒有被安全軟體和系統安全機制甚至硬體安全機制察覺，這本身也是很難的。」趙曉峰說道。

攻擊案例尚未發生的另一方面原因在於，很多人未意識到晶元設計存在漏洞，或者不認為這是漏洞。

趙曉峰表示：「在過去，英特爾不認為Meldtown是漏洞，但現在被認為是漏洞。Spectre可以認為是，過去大家都不覺得這是漏洞而現在是漏洞的漏洞。」

這樣的例子在IT史上並不少見，比如計算機語言中有「二分法」查找思想，於1946年提出，1962年被認為無誤，但是在10年前推翻了這一說法。「同理，分支預測和亂序執行的思想（導致Spectre漏洞）也經歷了提出、論證成功、不斷改進、大規模使用到現在發現漏洞，這是一個長期的過程，或許10年後我們還會發現今天認為沒錯的設計，是一個漏洞。」

比起安全方面的危害，更多企業和個人用戶擔心的是修補漏洞帶來的「30%」的性能損失。不過對於「30%性能損失」的說法，英特爾方面予以了否認。同時，蘋果、微軟、亞馬遜和Google的測試結果也都表明系統更新不會對性能造成太大影響。

「最初的性能損失評估是針對Meltdown漏洞，通過設立用戶許可權和內核許可權的頁表隔離，因為這樣一旦用戶對內核進行訪問，就會受到嚴格的頁表檢查，換句話，許可權的檢查被提前了，這樣導致某些應用下性能會下降，尤其是虛擬機，因為是通過應用程序藉助CPU虛擬化技術虛擬一個新的計算機系統，這被推測有大量內核與用戶數據之間的訪問，而這類應用估計會有5%-30%的損失。」趙曉峰說道。

趙曉峰對英特爾酷睿i77700HQ處理器在更新補丁前後進行了一些測試，包括使用sisoftware 2017的內存事務性測試，.net公共虛擬機語言環境的算術和SIMD測試（廣義虛擬機下的計算測試），內存與緩存帶寬測試和在Android studio上使用虛擬設備運行安兔兔的測試，「目前來看，個人電腦無需擔心，除了安兔兔有一兩項有明顯影響外（原因還不能確定是補丁影響），總體沒有明顯的性能變化。」

對於IT行業而言，業內專家張攀表示「性能損失不是一件壞事」，CPU架構的發展都是緣起於如何解決問題。當前CPU架構已許久沒有創造性地改造，這個問題有可能成為CPU架構更新的契機，推動CPU的進步，從而造福IT產業。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！