Intel詳解L1TF安全漏洞：普通用戶性能無顯著影響

自從今年初 Spectre 幽靈、Metldown 熔斷兩大安全漏洞被曝光、對整個處理器行業造成重大沖擊以來，以 Intel 為首的軟硬件行業公司都加強了對于處理器安全漏洞的檢測、防范和修復。現在，Intel 與伙伴主動披露了一個新的安全漏洞“L1 終端故障”(L1 Terminal Fault)，簡稱 L1TF，并同時公布了完整的防御措施。

（截圖 -1）

漏洞解析

L1TF 是一種最近發現的推測執行側信道分析的安全漏洞，會影響一部分支持 Intel SGX 軟件保護擴展的處理器，包括自第二代酷睿(Sandy Bridge)以來的各類桌面、移動筆記本、服務器和數據中心產品。

該漏洞由魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學、Data61 的研究人員首次發現并向 Intel 報告。

Intel 進一步研究后發現，L1TF 漏洞的另外兩種相關應用還存在影響其它處理器、操作系統和虛擬化軟件的可能。

L1TF 和此前發現的幽靈漏洞多個變體類似，三種應用都是與預測執行側信道緩存計時相關的漏洞，不過這次的攻擊目標是一級數據高速緩存，其中存儲著關于“處理器內核下一步最有可能做什么”的信息。

（視頻截圖 - 2）

防御措施

L1TF 漏洞報告是 Intel 主動公布的，因為在此之前 Intel 已經完成了相關研究，并部署了相應的防御措施。

事實上，Intel 今年早些時候發布的微代碼更新(MCU)，就包含了針對 L1TF 所有三種應用的防御策略，為系統軟件提供了清除該共享緩存的方法。

即日起，行業合作伙伴和開源社區也會陸續發布針對操作系統和管理程序軟件的相應更新。

此外，今年 3 月份 Intel 就已經宣布，會在硬件層面作出改變，以抵御安全漏洞，其中就包括 L1TF 在內，首先是代號 Cascade Lake 的下一代 Xeon 至強可擴展處理器，和今年晚些時候推出的全新 PC 處理器。

Intel 強調，目前還沒有收到這些漏洞被實際攻擊利用的報告。

Foreshadow Attack：https://v.youku.com/v_show/id_XMzc4MTE3MjIzNg==.html

性能影響

Intel 預計，針對漏洞進行系統更新后，運行非虛擬化操作系統的消費者和企業用戶面臨的安全風險會降低，而基于在測試系統上運行的性能基準測試，尚未看到上述防御措施對性能產生任何顯著的影響。

針對另外一部分市場，特別是數據中心領域運行傳統虛擬技術的，由于無法保證所有虛擬化系統已安裝必要更新，Intel 建議采取額外措施來保護其系統，包括啟用特定管理程序內核調度功能、在某些特定場景中關閉超線程。

對于這些特定情況，某些特定負載上的性能或資源利用率可能會受到影響，并相應發生變化。

Intel 與行業合作伙伴正在研究多種解決方案來應對這一影響，以便客戶可以根據自己的需求選擇最佳方案。

為此，Intel 已經了一種方法，可以在系統運行期間即時檢測基于 L1TF 漏洞的攻擊，只在必要時才啟用防御措施。

Intel 已經為一些合作伙伴提供了具有這項功能的預覽版微代碼，供評估試用，并希望在今后逐步推廣。

來自: 快科技