英特尔解释道,使用更新进行修复后,对 CPU
性能的影响程度,视采用的处理器和相关软硬件平台配置而有所不同。英特尔另外补充,利用
DPDK(Data Plane Development
Kit)工具增加缓存加速网路上对封包的处理速度,也会影响测试的结果,并且在相同
CPU 平台配置环境下,采用不同的 I/O
接口基准进行测试,也同样会影响测试的结果,可能有等于或超过 20%
的实质回归(substantive regression)的结果差异。

共享系统(云服务)

除了微软Windows、苹果macOS之外,Linux操作系统也受到了这一英特尔漏洞的影响。除了个人电脑之外,包括亚马逊、微软和谷歌在内的云计算服务也受到漏洞的影响。

对于另外一台 Skylake 服务器,搭配 Linux 操作系统,在 TPC-C
基准测试中,对 CPU 性能的整体影响约在 2% 以内。另外在
SPECint,SPECfp,LINPACK,Stream OMP 以及 MLC 的基准测试中,都只受
nominal impacts 的影响。

微软的 Azure 云(运行大量 Linux 和 Windows)将在 1 月 10
日进行维护和重启,大概会推出了上述修复程序。

据报道,这个漏洞目前已经让英特尔陷入了巨大的麻烦中。其原因并非第一次出现这种漏洞,而此次解决这一漏洞,将导致全球个人电脑运行速度下降。

澳门新葡萄京官网注册 1

澳门新葡萄京官网注册,你的英特尔机器将因此运行速度较慢。

据美国科技新闻网站AppleInsider等多家媒体报道,英特尔这一漏洞存在于CPU中,这一漏洞能够导致不良之徒访问到个人电脑内核访问的内存数据,其中包括用户账号密码、应用程序文件,文件缓存等。

对此,记者向英特尔求证,对方回复依目前测出的数据显示,针对笔记本电脑用的处理器更新后,造成的性能下降最多有到
4%,而在服务器方面也有 2% 的性能下降。

这种分离的不利之处在于,在每个系统调用的每个系统调用和每个来自硬件的中断之间,在两个单独的地址空间之间切换是相对昂贵且时间明智的。这些上下文切换不会立即发生,而是强制处理器转储缓存数据并从内存中重新加载信息。这增加了内核的开销,并减慢了计算机的速度。

连日来,苹果公司的降速门丑闻在全球发酵,被指涉及到了用户手中的iPhone和iPad。据外媒最新消息,英特尔公司日前爆出了一个处理器的严重漏洞,导致微软、苹果等公司需要修改操作系统,这一漏洞修补过程可能导致全球个人电脑性能下降,最高下降幅度高达三成。

英特尔在网站公开的 Q&A 问答中也证实,修补后多少会影响到 CPU
的工作性能,但对于性能的影响程度并无太多说明,记者写信向英特尔美国总部咨询,不久后对方也给出正式回应,并提供目前内部针对笔记本电脑与服务器处理器性能测试的数据,以用作对照。

导读:TPU
称,亚马逊、微软和谷歌是三个受影响最深的云计算厂商,如果漏洞被利用,那么在同一物理空间的虚拟用户
A
可以任意访问到另一个虚拟用户B的数据,包括受保护的密码、应用程序密匙等。

目前,英特尔这一漏洞获得了一个“保护期”,即漏洞信息尚未在网络上被公开,英特尔、微软、苹果等公司正在加班加点研究解决办法。

来自:iThome Online

具体而言,就最好的情况而言,这个 bug 可能会被滥用来打败 KASLR[3]:内核地址空间布局随机化。这是各种操作系统使用的防御机制,将内核组件放置在随机位置的虚拟内存中。这种机制可以阻止在内核中滥用其他漏洞的尝试:通常,利用代码(尤其是面向返回的编程漏洞[4])依赖于在存储器中的已知位置重用计算机指令。

一家国外科技媒体指出,有一件事已经很确定,那就是安装这一补丁之后,用户的个人电脑运行速度将比以前降低。

这两天,英特尔等 CPU
大厂被爆出处理器出现重大漏洞后,不少硬件厂商、操作系统,云服务提供商都在第一时间释出更新以修复漏洞,不过因为目前大多数采用的补救方式,就是在操作系统层级修复这项错误,完全隔开内核与使用者程序的内存位置,虽然这可以缓解漏洞的影响,但却容易造成性能的下降,数据库
PostgreSQL 更是在官网公开了测试结果,显示当使用修补过后的 Linux
内核,性能下降高达 17% 到 23%。

看起来 KAISER 的工作与 Fogh
的研究有关,而且也正在开发一种通过滥用虚拟内存布局来打破 KASLR
的实际手段,这个团队可能会以某种方式证明 Fogh 是正确的 – 在 Intel x86
芯片上的推测性执行可以被利用来访问内核的内存。

外媒也指出,虽然修补漏洞导致英特尔处理器性能降低,但是建议用户尽快安装各个操作系统厂商推出的补丁,因为除非出现非常重大的危险漏洞,全球的操作系统厂商并不会统一采取行动进行修补。

根据 PCWorld
的引述,英特尔在最近一次电话会议上对于性能影响有更多的补充说明。英特尔高层表示,这次漏洞的更新修复,对于用户运用于一般应用任务的处理影响较轻微,性能降低约为
0 或到 2%
不等,但是对于极度依赖应用程序与操作系统之间的大量互动的复合式工作负载(synthetic
workloads),修复漏洞造成的性能冲击就会很大,下降可能达 30% 之多。

只要正在运行的程序需要执行任何有用的操作(如写入文件或打开网络连接),就必须暂时将处理器的控制权交给内核来执行。为了尽可能快速高效地从用户模式转换到内核模式并回到用户模式,内核存在于所有进程的虚拟内存地址空间中,尽管这些程序是不可见的。当需要内核时,程序进行系统调用,处理器切换到内核模式并进入内核。完成后,告知
CPU
切换回用户模式,并重新进入该过程。在用户模式下,内核的代码和数据保持不见,但出现在进程的页表中。

据报道,在例行的“周二补丁包”中,微软已经决定发布针对Windows操作系统的补丁。该补丁包可能在下周发布。

根据英特尔的测试数据显示,以最新一款笔记本电脑专用的 Kaby Lake Refresh
处理器为例,搭配 Windows 操作系统,在硬件测试基准工具 Sysmark 2014
上测得的结果,相比未更新修复前的整体分数,降幅约在 3%
以内,相同条件下,另一个 CPU 基准测试工具 SPECfp
的测试结果也没有太大差异,大约是在 4% 以内。

最好的情况下,恶意软件和黑客可以利用这个漏洞更容易地利用其他安全漏洞。

苹果和英特尔的合作关系越来越紧密。从去年开始,英特尔也开始向苹果提供智能手机所用的基带处理器。由于苹果和高通之间发生法律纠纷,苹果计划扩大英特尔基带的采购比重,未来可能完全抛弃采购高通的基带处理器。

以往只要有重大安全漏洞爆出,受影响的用户都会第一时间去更新,去修复漏洞,以避免自家的应用服务安全受影响,但是这次的
CPU 重大漏洞“熔断”和“幽灵”却不同,虽然受波及的
CPU、云、操作系统厂商同样第一时间更新并修复了漏洞,但更多人会担心,万一更新后,大幅影响
CPU
的性能,对于执行应用任务带来的冲击,不是更新就能解决的问题,而且根据数据库 PostgreSQL
网站的测试显示,最极端的情况性能已下降超过 20%。

这些 KPTI
补丁将内核移入一个完全独立的地址空间,所以它不仅对运行的进程是不可见的,甚至根本就不存在。实际上,这应该是不需要的,但显然英特尔芯片中存在一个缺陷,允许内核访问保护以某种方式被绕过。

这一漏洞存在于英特尔公司在过去十年生产的x86处理器中,受影响的个人电脑中,也包括了采用macOS操作系统的苹果电脑。

原文链接请访问“原文链接”获得可点击的文内链接、全尺寸原图和相关文章。

从理论上,消费者也能够更换一枚不包括这一漏洞的英特尔CPU,不过除了少数科技发烧友之外,普通个人电脑用户很难实施更换处理器的解决办法。

澳门新葡萄京官网注册 2

略微糟糕的是,英特尔公司本身无法采用固件升级的方式解决这一漏洞,导致微软、苹果等操作系统开发商各自寻求修补方法。

点击图片、输入文章 ID 或识别二维码直达

不过一位名叫Dave
Hansen的Linux内核开发人员在网络文章中表示,Linux内核中进行的修补将会影响所有的操作系统工作,大部分软件运行将会出现“一位数下滑”,典型的性能下降幅度为5%。

如果你将内核的代码随机放置在内存中,攻击者就无法找到他们所需的内部组件来完全破坏系统。处理器漏洞可能会被利用来找出内核定位其数据和代码的内存位置,从而对软件随意篡改。

英特尔处理器被曝重大漏洞

然而,这个缺陷的一些细节已经出现,这就是我们所知道的情况。

英特尔是全球电脑处理器巨头,处于市场垄断地位。苹果公司以往曾经使用PowerPC架构的处理器,但是后来调整了策略,和全球其他电脑厂商一样,也转向了英特尔x86处理器。

有传言说,一个严重的虚拟机管理程序错误 —— 可能在 Xen 中 —— 在 2017
年末进行。可能是这个传言的硬件缺陷:虚拟机管理程序可以通过这个内核内存的无序访问攻击,因此需要修补,强制重新启动来宾虚拟机。

而在联网功能方面,最糟糕的性能下降幅度为30%。据悉,修补这一漏洞的补丁将会影响到系统调用的底层功能,因此将影响到软件编译,虚拟机运行等。

那很不好。这个漏洞的细节还没有得到证实,关于它的严重性的这个讨论已经足够了,但是可以这样认为:对
Linux 和 Windows 的更改声势浩大,而且正在快速推出。这表明它比 KASLR
旁路更严重。

对于不同品牌、不同操作系统的个人电脑,这一漏洞导致的具体性能降低信息尚不详。

本文导航◈ 影响范围19%◈ 这个安全漏洞怎么会被滥用?38%◈ 共享系统(云服务)78%◈ 更新92%编译自 |  
 作者 | John Leyden, Chris Williams
转载自 | 云技术实践
/ https://mp.weixin.qq.com/s/PiCKXMepmoq6tW-o3h4wjQ 
 译者 | 云技术实践 / 北极熊

英特尔的发言人尚未对此进行评论。

据了解,该错误出现在过去十年中生产的现代英特尔处理器中。它允许普通的用户程序(从数据库应用程序到
Web 浏览器中的
JavaScript)在一定程度上辨别受保护的内核内存区域的布局或内容。

更新

最后,据操作系统内核专家 Alex Ionescu 称,macOS 已经从 10.13.2 开始补上[10]了该芯片设计漏洞。似乎
64 位的 ARM Linux 内核也有了[11]一系列的
KAISER 补丁,完全分离了内核和用户空间,以防御 KASLR。

亚马逊网络服务公司还通过电子邮件警告客户,预计本周五将有重大安全更新登陆,而不会涉及细节。

这个 Intel 处理器的漏洞是真实的。一个 Vrije Universiteit Amsterdam
的系统与网络安全组的博士开发了一个概念验证程序,验证了这个从用户模式读取内核内存的芯片级漏洞。

英特尔处理器芯片的一个基本设计缺陷已经迫使 Linux 和 Windows
内核进行重大重新设计,以解决芯片级安全漏洞。

推荐文章

这将允许 ring-3 级用户代码读取 ring-0 级内核数据。

经过查看该概念验证代码,少量的内核内存被泄露到了用户进程。

这里的关键词是“推测”。现代处理器,如英特尔,执行推测性执行。为了保持内部管道的指令符合要求,CPU
内核会尽力猜测接下来要运行的代码,取出并执行它。

澳门新葡萄京官网注册 3TPU
称,亚马逊、微软和谷歌是三个受影响最深的云计算厂商,如果漏洞被利用,那么在同一物理空间的虚拟用户
A
可以任意访问到另一个虚拟用户B的数据,包括受保护的密码、应用程序密匙等。–
John Leyden, Chris Williams

这个安全漏洞怎么会被滥用?

我的结果表明,推测执行确实继续,尽管违反了内核模式和用户模式之间的隔离。

此外,在 Linux
上分离内核和用户地址空间的更新是基于一组修补程序,这些修补程序是由奥地利格拉茨技术大学Graz
University of Technology的 eggheads 创建的 KAISER[6] 修补程序。他们发现(PDF[7])
可以通过在 CPU
的虚拟内存系统的旁路攻击中,从内核中提取内存布局信息来击败
KASLR。该团队提出了分离内核和用户空间以防止这种信息泄漏,他们的研究激发了这一轮的修补。

影响范围

把内核想象成坐在云上的上帝,俯视地球。它在那里,没有正常的生物可以看到它,但他们可以祈祷。

至关重要的是,对 Linux 和 Windows
的这些更新将会对英特尔产品造成冲击。结果仍然在基准测试中,估计使用英特尔处理器的系统性能将会出现
5%- 30% 的下降,具体取决于任务和处理器型号。最近的英特尔芯片具有 PCID[1] 等功能,可以降低性能,你的计算成本可能也会改变。 

内核开发者正在积极地检查开源 Linux
内核的虚拟内存系统,与此同时,微软预计在即将到来的周二补丁日,会公开发布
Windows 操作系统的必要变更:这些变化是在 11 月份和 12 月份发布的 Windows
内部版本的 beta 测试。

他们的工作由安德斯·福格Anders Fogh在 7 月份撰写了这篇有趣的博客文章[8]所披露。那篇文章描述了他试图通过滥用推测执行从用户模式读取内核内存。虽然弗格无法提出任何有效的概念验证码,但他指出:

解决方法是使用所谓的内核页表隔离(KPTI)将内核的内存与用户进程完全分开。这次,Linux
内核团队仔细研究了强制取消内核中断Forcefully Unmap Complete Kernel With
Interrupt Trampolines(FUCKWIT),你可以感受下这多么令开发人员烦恼。

< 左右滑动查看相关文章 >

英特尔芯片内部的漏洞细节处于封闭状态:对这些细节的禁令将在本月初解除,或许是微软下周二的补丁。实际上,Linux
内核的修补程序[2]可供所有人查看,但源代码中的注释已被编辑以混淆该问题。

类似的操作系统,如苹果公司的 64 位 macOS,也将需要更新。这个缺陷是在
Intel
x86-64架构硬件上,并且看起来更新微码无法解决它。必须在操作系统级别的软件中进行修复,或者购买新的没有设计错误的处理器。

最糟糕的是,程序和登录用户可能会滥用这个漏洞来读取内核内存的内容。可以说,这不太好。内核的内存空间对用户进程和程序是隐藏的,因为它可能包含各种各样的秘密,比如密码,登录密钥,从磁盘缓存的文件等等。想象一下,在浏览器中运行的一段
JavaScript,或者在共享的公共云服务器上运行的恶意软件,能够嗅探受敏感内核保护的数据。

从 AMD 软件工程师 Tom Lendacky 在上面提出的建议看来,Intel 的 CPU
可能在没有执行安全检查的情况下推测性地执行代码。似乎有可能以处理器开始执行通常被阻塞的指令(例如从用户模式读取内核存储器)开始执行软件,并且在特权级别检查发生之前完成该指令。

澳门新葡萄京官网注册 4澳门新葡萄京官网注册 5澳门新葡萄京官网注册 6澳门新葡萄京官网注册 7澳门新葡萄京官网注册 8澳门新葡萄京官网注册 9澳门新葡萄京官网注册 10

但是,英特尔芯片中的漏洞可能比上述的缓解旁路更糟糕。在圣诞节的一封 Linux
内核邮件列表的邮件[5]中,AMD
表示,它不会受到影响。但是,这个信息的措辞让我们相当清楚地看到底层的诡计是什么:

澳门新葡萄京官网注册 11

该软件开发人员在周一发表的一篇重磅分享和推特文章[9]中称,这个
bug 将会影响包括 Amazon EC2、Microsoft Azure 和 Google Compute Engine
在内的大牌云计算环境。

AMD 处理器不受内核页表隔离功能所抵御的攻击类型的限制,AMD
微架构不允许内存引用(包括推测引用)在访问将导致页面错误时以较低特权模式访问较高特权的数据。

目前存在一个未公布的安全性错误,显然影响到所有实现虚拟内存的当代
[Intel]
CPU体系结构,需要硬件更改才能完全解决。软件缓解的紧急开发正在公开进行,最近正在
Linux 内核中进行,类似的缓解在 11 月份开始出现在 NT
内核中。在最糟糕的情况下,软件修复会导致典型工作负载的巨大减速。

这种攻击会影响常见的虚拟化环境,包括 Amazon EC2 和 Google Compute
Engine。