你的電腦性能又要下降3%,全怪Intel再爆ZombieLoad安全漏洞
就上次Intel處理器爆出漏洞需要打補丁,同時造成電腦性能下降至少10%的餘悸還沒消除,這邊國外媒體又爆出了Intel CPU另一處名為ZombieLoad(喪屍負載)的新漏洞,相同的是,這些漏洞都是利用Intel處理器硬體上的微架構缺陷,只能通過硬體(Intel)或操作系統生產商推出補丁來修復。ZombieLoad漏洞的可怕之處在於,它通過造成CPU分支預測的溢出,從而獲得當前處理器緩存里所有應用軟體的數據,甚至包括雲伺服器上本應各自隔離的虛擬機中的數據。
ZombieLoad漏洞的危害
對於個人用戶來說,你們可能一時難以明白這個漏洞的危害有多大,我簡單點跟你們說,目前個人電腦市場的確開始有部分AMD處理器(沒這個漏洞)搶奪了Intel的處理器市場,但初步估算跟Intel的市場佔比為15:85,這是個人領域。在伺服器領域,這個比例就更大了,或許為3:97,言下之意,幾乎95%以上的伺服器都是使用Intel家的處理器。而現在這個ZombieLoad漏洞,據外媒估計可能自2011年後的Intel處理器都含有這個漏洞,而雲(雲伺服器/雲盤)開始於3-4年前,因此這些伺服器毫無疑問採用了含有該漏洞的Intel處理器。
哪么可怕的地方來了,通過某種特定的操作,譬如引導用戶安裝帶有惡意代碼的軟體,該軟體就能造成Intel處理器預測執行崩潰,從而讀取此刻位於Intel CPU待執行命令緩衝區的所有當前運行的應用數據(包括以虛擬機方式隔離的所有此刻運行中的伺服器數據)。其實現在我們用的很多App,他們背後都是需要伺服器來提供服務的,而且他們大部分都是租用一些雲公司的超大型物理伺服器集群通過軟體再切割出來的「虛擬伺服器」(就是所謂的雲主機),曾經因為Intel的VT硬體隔離技術,這些虛擬機(同一台物理伺服器里)之間的數據都是徹底隔離的,譬如在某台物理伺服器上,一共運行有A、B、C三個不同公司的App,各自使用不同的虛擬機隔離開來,曾經在理論上,它們三個App和該雲主機空間里存儲的數據是絕對不可能被另一個虛擬機的用戶訪問的,也就是說哪怕A虛擬機被黑了,所有數據泄露,但B虛擬機和C虛擬機都是安全的(雖然它們實質上都位於同一台物理主機上)。但有了這個殭屍負載漏洞後,可能B網站被安裝了帶有安全問題的軟體,哪么B和C應用此刻用戶實時提交和訪問的數據,也有可能因為A應用的虛擬機淪陷而被讀取。
也就是說,如果雲伺服器商(大部分小型App應用租用的伺服器提供商)不第一時間升級操作系統的話,極有可能在你完全不知情的情況下,你的什麼信用卡或家庭住址電話等信息就被人家讀取了,你還不知道。因為根據外媒報道,這種基於處理器微架構的攻擊暫時是沒辦法被識別出來的。而一般的雲伺服器供應商,一台物理伺服器上可能運行著至少8-32個不同的虛擬機。
個人用戶如何應對ZombieLoad漏洞
對於這個高度危險的微架構數據採樣(MDS)安全問題,Intel表示部分最新款的第八代和第九代Intel酷睿處理器及第二代至強可擴展處理器已經在硬體層面修復了。同時,對於早前發布的Intel Xeon,Intel Broadwell,Sandy Bridge,Skylake和Haswell晶元。英特爾Kaby Lake,Coffee Lake,Whiskey Lake和Cascade Lake晶元也受到影響,以及所有Atom和Knights處理器也已經推出MCU(微碼更新),安裝該更新後,系統將更為積極的清除位於Intel處理器緩衝區里的數據,所以這也帶來了個人電腦大約3%,伺服器大約9%的性能損失。
對於蘋果電腦來說,蘋果公司表示他們已經在MacOS Mojave及之後的操作系統版本和新版Safari瀏覽器中修復了這一漏洞,Macbook及Mac用戶只需要及時更新最新的系統補丁即可。
而Google表示,最新版的Chrome 74瀏覽器,已經通過禁用Intel處理器的HT(Hyper-Threading)超線程技術來避免被這一漏洞所危害。但用過Chrome瀏覽器的同學應該知道,如果禁用HT技術,那本就超級吃CPU的Chrome瀏覽器減了一半的CPU核心(關閉超線程),這酸爽...
而微軟也表示即將於今天晚些時候發布基於Windows10的該漏洞補丁,在用Windows PC的用戶記得到時候更新一下,不過就像上文所說的,你的電腦又將慢一點了。
點擊下方「了解更多」,下載各版本操作系統對應的ZombieLoad補丁
