系统极客一直在努力
专注操作系统及软件使用技能

软件补丁实属鸡肋,新CPU才能硬件免疫ZombieLoad漏洞

安全

大家都知道,闹得沸沸扬扬的 Spectre 漏洞暴露了当前 CPU 存在的重大设计缺陷,而像 Foreshadow 和现在 ZombieLoad 这样的攻击却利用了类似弱点。非常不幸的是:这些所谓的「投机执行缺陷」只有附带内置保护机制的新型号 CPU 才能从真正的硬件层面上解决。

软件补丁会拖慢现有CPU速度

业界一直都在争先恐后地疯狂修补像 Spectre 和 Foreshadow 这样的「侧通道攻击」漏洞,此类攻击会欺骗 CPU 泄露其本不应该暴露的信息。通过安装微码更新、操作系统级别的修补程序和 Web 浏览器等应用程序的补丁更新,则可以在一定程度上提供对当前 CPU 的保护。

而补丁更新会在一定程度上拖慢 CPU 的运行速度,就例如微软针对 Spectre 漏洞的补丁虽然已经尽力而为,但还是会降低 CPU 的一些性能。

现在,ZombieLoad 引发了一个新威胁:要完全锁定并保护系统免受此攻击,您必须禁用 Intel CPU 的超线程功能( 这也是谷歌在英特尔 Chromebook 上禁用超线程的原因),这性能损失也就大了去了……

与此前一样,很多厂商也在积极通过 CPU 微码更新、浏览器更新和操作系统补丁来试图封堵 ZombieLoad 漏洞,不过即便打上补丁后不再需要禁用 CPU 超线程,但也会在一定程度上造成 CPU 性能损失。

推荐:检测你的Windows 10是否正受CPU熔断和幽灵漏洞影响

新型号Intel CPU不易受ZombieLoad攻击

ZombieLoad 对正在使用新型号 Intel CPU 的系统来说并没多大威胁,正如英特尔所说,从第 8 代和第 9 代 Intel®Core™ 处理器第 2 代 Intel®Xeon® 可扩展处理器系列开始,ZombieLoad 漏洞已经在硬件层面得到了解决。所以,使用这些现代 CPU 的系统不容易受此新攻击的影响。

ZombieLoad 只影响 Intel 系统,但 Spectre 会同时影响 AMD 和一些 ARM CPU,所以它才是全行业的安全问题。

CPU的设计缺陷,才导致攻击可以实现

当 Spectre 漏洞在网络上「崭露头角」时,才暴露出了现代 CPU 的一些设计缺陷。我们不扯那么复杂,用小白的话来说就是:现代 CPU 中的「性能优化功能」正在被滥用。

在 CPU 中执行代码时,甚至可能只是 Web 浏览器中运行的 JavaScript 代码,都有可能利用这些缺陷来读取沙箱之外的内存。在最糟糕的情况下,一个浏览器选项卡中的网页甚至可以,从另一个选项卡中读取您的网上银行密码;或者, 在云服务器上, 一个虚拟机可以窥探同一系统上其他虚拟机中的数据。细思极恐啊!

其实软件补丁只是鸡肋

为了防止此类「侧通道攻击」漏洞,业界正在尝试向 CPU 的性能优化层添加额外检查。

禁用超线程功能的建议是一个非常典型的例子:通过禁用让 CPU 运行更快的功能,可以使其更加安全。 这样一来,恶意软件就无法再利用该性能优化功能,但正常应用程序也会损失超线程带来的性能加速能力。

虽然业界已经通过大量努力来提供软件补丁,以保护系统免于类似 Spectre 这样的攻击而不会造成太大的 CPU 性能损失。不过软件补丁终究还是鸡肋,此类安全漏洞必需要在 CPU 硬件级别才能完美修复。

硬件级别的修复将提供更多安全保护,而不会让 CPU 性能降级。用户也不必再担心是否要打上微码(固件)更新、操作系统补丁才能确保系统安全。

一些安全研究人员已经将其纳入研究论文,称「这不仅仅是错误,而且实际上是优化的基础。」CPU 设计必须改变。

Intel和AMD正在更新CPU安全架构

硬件级别的修复不仅仅是理论上的,CPU 厂商正在努力进行架构更改,以便在 CPU 硬件级别解决此问题。正如英特尔在 2018 年提出的那样,其正在用第 8 代 CPU 提升芯片级别的安全性。

英特尔此前也宣布,他们的第 9 代 CPU 包括了针对 Foreshadow 和 Meltdown V3 的额外保护,最近爆出来的 ZombieLoad 攻击也不会影响到这些 CPU。

2018 年,AMD 首席执行官 Lisa Su 也曾表示:「从长远来看,我们已经将我们未来处理器内核的进行改变。从我们的 Zen 2 设计开始,将进一步解决潜在的类似 Spectre 的攻击。」

赞(0) 赞赏

评论 抢沙发

微信赞赏