只有新的CPU可以真正修复ZombieLoad和Spectre

Intel CPU上的ZombieLoad徽标
RMIKKA /存在Shutterstock

当前的CPU存在设计缺陷。 Ghost暴露了他们,但像Foreshadow和现在ZombieLoad这样的攻击利用了类似的弱点。 这些“投机执行”缺陷只能通过购买带内置保护的新CPU来真正解决。

补丁通常会降低现有CPU的速度

业界一直疯狂地争先恐后地修补像Spectre和Foreshadow这样的“侧通道攻击”,这些攻击会诱使CPU发现它不应该泄露的信息。 通过微代码更新,操作系统级修复以及Web浏览器等应用程序的补丁,可以保护当前的CPU。

虽然微软即将再次加速重新启动 ,但Ghost修复程序已经减慢了旧CPU的计算机 速度 修补这些错误通常会降低现有CPU的性能。

现在,ZombieLoad引发了一个新威胁:要完全锁定并保护系统免受此攻击,您必须禁用Intel的超线程 这就是谷歌在英特尔Chromebook上禁用超线程的原因。 像往常一样,CPU微码更新,浏览器更新和操作系统补丁正在试图堵塞漏洞。 一旦这些补丁到位,大多数人不需要禁用超线程。

新的Intel CPU对ZombieLoad不易受攻击

但ZombieLoad在使用新Intel CPU的系统上并不存在危险。 正如英特尔所说,ZombieLoad“在硬件方面得到了解决,从第8代和第9代Intel®Core™处理器以及第二代Intel®Xeon®可扩展处理器系列开始。”具有这些现代CPU的系统不容易受此影响新的攻击。

ZombieLoad只影响Intel系统,但Spectre也影响了AMD和一些ARM CPU。 这是一个全行业的问题。

CPU具有设计缺陷,可以实现攻击

当业界意识到当Ghost崭露头角时 ,现代CPU有一些设计缺陷:

这里的问题是“投机执行”。 出于性能原因,现代CPU会自动运行他们认为可能需要运行的指令,如果不这样,他们可以简单地倒回并将系统恢复到之前的状态......

Meltdown和Spectre的核心问题在于CPU的缓存。 应用程序可以尝试读取内存,如果它在缓存中读取内容,则操作将更快地完成。 如果它试图读取不在缓存中的内容,它将完成得更慢。 应用程序可以查看某些内容是快速还是慢速完成,并且在推测执行期间的所有其他内容都被清除和擦除时,无法隐藏执行操作所花费的时间。 然后,它可以使用此信息在计算机的内存中构建任何内容的映射,一次一个位。 缓存加快了速度,但这些攻击利用了这种优化并将其转化为安全漏洞。

换句话说,现代CPU中的性能优化正在被滥用。 在CPU上运行的代码 - 甚至可能只是在Web浏览器中运行的JavaScript代码 - 可以利用这些缺陷来读取其普通沙箱之外的内存。 在最糟糕的情况下,一个浏览器选项卡中的网页可以从另一个浏览器选项卡中读取您的网上银行密码。

或者,在云服务器上,一台虚拟机可以窥探同一系统上其他虚拟机中的数据。 这是不可能的。

相关: 熔化和Ghost缺陷将如何影响我的电脑?

软件补丁只是Bandaids

毫不奇怪,为了防止这种侧通道攻击,补丁使CPU的执行速度变慢了一些。 业界正在尝试向性能优化层添加额外的检查。

禁用超线程的建议是一个非常典型的例子:通过禁用使CPU运行更快的功能,您可以使其更安全。 恶意软件无法再利用该性能功能 - 但它不再能加速您的PC。

由于很多聪明人的大量工作,现代系统已经被合理地保护免受像Spectre这样的攻击而没有太大的减速。 但是像这样的补丁只是绑带:这些安全漏洞需要在CPU硬件级别修复。

硬件级别的修复将提供更多保护 - 而不会降低CPU的速度。 组织不必担心他们是否具有微码(固件)更新,操作系统补丁和软件版本的正确组合,以确保其系统安全。

正如一组安全研究人员将其纳入研究论文 ,这些“不仅仅是错误,而且实际上是优化的基础。”CPU设计必须改变。

英特尔和AMD正在修复新的CPU

英特尔Ghost保护硬件图形显示围栏。
英特尔

硬件级别的修复不仅仅是理论上的。 CPU制造商正在努力进行架构更改,以便在CPU硬件级别解决此问题。 或者,正如英特尔在2018年提出的那样,英特尔正在用第8代CPU“ 提升芯片级别的安全性 ”:

我们重新设计了处理器的各个部分,通过分区引入了新的保护级别,可以防止[Spectre]变体2和3.将此分区视为应用程序和用户权限级别之间的额外“保护墙”,从而造成不良障碍演员。

英特尔此前宣布其第9代CPU 包括针对Foreshadow和Meltdown V3的额外保护 最近发布的ZombieLoad攻击不会影响这些CPU,因此这些保护必须有所帮助。

AMD也在努力改变,尽管没有人愿透露许多细节。 在2018年,AMD首席执行官Lisa Su 表示 :“从长远来看,我们已经将我们未来处理器内核的变化,从我们的Zen 2设计开始,以进一步解决潜在的类似Spectre的攻击。”

对于想要在没有任何补丁的情况下降低速度的最快性能的人 - 或者只是想要完全确定其服务器受到保护的组织 - 最好的解决方案是购买带有这些基于硬件的修复的新CPU。 硬件级别的改进有望在发现之前防止其他未来的攻击。

无计划的过时

虽然媒体有时会谈到“计划过时” - 一家公司的计划,硬件将过时,所以你必须更换它 - 这是无计划的过时。 没有人预料到出于安全原因需要更换这么多CPU。

天空没有下降。 每个人都让攻击者更难以利用像ZombieLoad这样的bug。 您现在无需参加比赛并购买新的CPU。 但是,一个不损害性能的完整修复将需要新的硬件。

赞 (0)
分享到:更多 ()