自從今年初Spectre幽靈、Metldown熔斷兩大安全漏洞被曝光、對(duì)整個(gè)處理器行業(yè)造成重大沖擊以來(lái)，以Intel為首的軟硬件行業(yè)公司都加強(qiáng)了對(duì)于處理器安全漏洞的檢測(cè)、防范和修復(fù)。

現(xiàn)在，Intel與伙伴主動(dòng)披露了一個(gè)新的安全漏洞“L1終端故障”（L1 Terminal Fault），簡(jiǎn)稱L1TF，并同時(shí)公布了完整的防御措施。

【漏洞解析】

L1TF是一種最近發(fā)現(xiàn)的推測(cè)執(zhí)行側(cè)信道分析的安全漏洞，會(huì)影響一部分支持Intel SGX軟件保護(hù)擴(kuò)展的處理器，包括自第二代酷睿（Sandy Bridge）以來(lái)的各類桌面、移動(dòng)筆記本、服務(wù)器和數(shù)據(jù)中心產(chǎn)品。

該漏洞由魯汶大學(xué)、以色列理工學(xué)院、密歇根大學(xué)、阿德萊德大學(xué)、Data61的研究人員首次發(fā)現(xiàn)并向Intel報(bào)告。

Intel進(jìn)一步研究后發(fā)現(xiàn)，L1TF漏洞的另外兩種相關(guān)應(yīng)用還存在影響其它處理器、操作系統(tǒng)和虛擬化軟件的可能。

L1TF和此前發(fā)現(xiàn)的幽靈漏洞多個(gè)變體類似，三種應(yīng)用都是與預(yù)測(cè)執(zhí)行側(cè)信道緩存計(jì)時(shí)相關(guān)的漏洞，不過(guò)這次的攻擊目標(biāo)是一級(jí)數(shù)據(jù)高速緩存，其中存儲(chǔ)著關(guān)于“處理器內(nèi)核下一步最有可能做什么”的信息。

【防御措施】

L1TF漏洞報(bào)告是Intel主動(dòng)公布的，因?yàn)樵诖酥癐ntel已經(jīng)完成了相關(guān)研究，并部署了相應(yīng)的防御措施。

事實(shí)上，Intel今年早些時(shí)候發(fā)布的微代碼更新（MCU），就包含了針對(duì)L1TF所有三種應(yīng)用的防御策略，為系統(tǒng)軟件提供了清除該共享緩存的方法。

即日起，行業(yè)合作伙伴和開源社區(qū)也會(huì)陸續(xù)發(fā)布針對(duì)操作系統(tǒng)和管理程序軟件的相應(yīng)更新。

此外，今年3月份Intel就已經(jīng)宣布，會(huì)在硬件層面作出改變，以抵御安全漏洞，其中就包括L1TF在內(nèi)，首先是代號(hào)Cascade Lake的下一代Xeon至強(qiáng)可擴(kuò)展處理器，和今年晚些時(shí)候推出的全新PC處理器。

Intel強(qiáng)調(diào)，目前還沒有收到這些漏洞被實(shí)際攻擊利用的報(bào)告。

【性能影響】

Intel預(yù)計(jì)，針對(duì)漏洞進(jìn)行系統(tǒng)更新后，運(yùn)行非虛擬化操作系統(tǒng)的消費(fèi)者和企業(yè)用戶面臨的安全風(fēng)險(xiǎn)會(huì)降低，而基于在測(cè)試系統(tǒng)上運(yùn)行的性能基準(zhǔn)測(cè)試，尚未看到上述防御措施對(duì)性能產(chǎn)生任何顯著的影響。

針對(duì)另外一部分市場(chǎng)，特別是數(shù)據(jù)中心領(lǐng)域運(yùn)行傳統(tǒng)虛擬技術(shù)的，由于無(wú)法保證所有虛擬化系統(tǒng)已安裝必要更新，Intel建議采取額外措施來(lái)保護(hù)其系統(tǒng)，包括啟用特定管理程序內(nèi)核調(diào)度功能、在某些特定場(chǎng)景中關(guān)閉超線程。

對(duì)于這些特定情況，某些特定負(fù)載上的性能或資源利用率可能會(huì)受到影響，并相應(yīng)發(fā)生變化。

Intel與行業(yè)合作伙伴正在研究多種解決方案來(lái)應(yīng)對(duì)這一影響，以便客戶可以根據(jù)自己的需求選擇最佳方案。

為此，Intel已經(jīng)開發(fā)了一種方法，可以在系統(tǒng)運(yùn)行期間即時(shí)檢測(cè)基于L1TF漏洞的攻擊，只在必要時(shí)才啟用防御措施。

Intel已經(jīng)為一些合作伙伴提供了具有這項(xiàng)功能的預(yù)覽版微代碼，供評(píng)估試用，并希望在今后逐步推廣。