自從今年初Spectre幽靈、Metldown熔斷兩大安全漏洞被曝光、對整個處理器行業(yè)造成重大沖擊以來，以Intel為首的軟硬件行業(yè)公司都加強(qiáng)了對于處理器安全漏洞的檢測、防范和修復(fù)。

現(xiàn)在，Intel與伙伴主動披露了一個新的安全漏洞“L1終端故障”（L1 Terminal Fault），簡稱L1TF，并同時公布了完整的防御措施。

【漏洞解析】

L1TF是一種最近發(fā)現(xiàn)的推測執(zhí)行側(cè)信道分析的安全漏洞，會影響一部分支持Intel SGX軟件保護(hù)擴(kuò)展的處理器，包括自第二代酷睿（Sandy Bridge）以來的各類桌面、移動筆記本、服務(wù)器和數(shù)據(jù)中心產(chǎn)品。

該漏洞由魯汶大學(xué)、以色列理工學(xué)院、密歇根大學(xué)、阿德萊德大學(xué)、Data61的研究人員首次發(fā)現(xiàn)并向Intel報告。

Intel進(jìn)一步研究后發(fā)現(xiàn)，L1TF漏洞的另外兩種相關(guān)應(yīng)用還存在影響其它處理器、操作系統(tǒng)和虛擬化軟件的可能。

L1TF和此前發(fā)現(xiàn)的幽靈漏洞多個變體類似，三種應(yīng)用都是與預(yù)測執(zhí)行側(cè)信道緩存計(jì)時相關(guān)的漏洞，不過這次的攻擊目標(biāo)是一級數(shù)據(jù)高速緩存，其中存儲著關(guān)于“處理器內(nèi)核下一步最有可能做什么”的信息。

【防御措施】

L1TF漏洞報告是Intel主動公布的，因?yàn)樵诖酥癐ntel已經(jīng)完成了相關(guān)研究，并部署了相應(yīng)的防御措施。

事實(shí)上，Intel今年早些時候發(fā)布的微代碼更新（MCU），就包含了針對L1TF所有三種應(yīng)用的防御策略，為系統(tǒng)軟件提供了清除該共享緩存的方法。

即日起，行業(yè)合作伙伴和開源社區(qū)也會陸續(xù)發(fā)布針對操作系統(tǒng)和管理程序軟件的相應(yīng)更新。

此外，今年3月份Intel就已經(jīng)宣布，會在硬件層面作出改變，以抵御安全漏洞，其中就包括L1TF在內(nèi)，首先是代號Cascade Lake的下一代Xeon至強(qiáng)可擴(kuò)展處理器，和今年晚些時候推出的全新PC處理器。

Intel強(qiáng)調(diào)，目前還沒有收到這些漏洞被實(shí)際攻擊利用的報告。

【性能影響】

Intel預(yù)計(jì)，針對漏洞進(jìn)行系統(tǒng)更新后，運(yùn)行非虛擬化操作系統(tǒng)的消費(fèi)者和企業(yè)用戶面臨的安全風(fēng)險會降低，而基于在測試系統(tǒng)上運(yùn)行的性能基準(zhǔn)測試，尚未看到上述防御措施對性能產(chǎn)生任何顯著的影響。

針對另外一部分市場，特別是數(shù)據(jù)中心領(lǐng)域運(yùn)行傳統(tǒng)虛擬技術(shù)的，由于無法保證所有虛擬化系統(tǒng)已安裝必要更新，Intel建議采取額外措施來保護(hù)其系統(tǒng)，包括啟用特定管理程序內(nèi)核調(diào)度功能、在某些特定場景中關(guān)閉超線程。

對于這些特定情況，某些特定負(fù)載上的性能或資源利用率可能會受到影響，并相應(yīng)發(fā)生變化。

Intel與行業(yè)合作伙伴正在研究多種解決方案來應(yīng)對這一影響，以便客戶可以根據(jù)自己的需求選擇最佳方案。

為此，Intel已經(jīng)開發(fā)了一種方法，可以在系統(tǒng)運(yùn)行期間即時檢測基于L1TF漏洞的攻擊，只在必要時才啟用防御措施。

Intel已經(jīng)為一些合作伙伴提供了具有這項(xiàng)功能的預(yù)覽版微代碼，供評估試用，并希望在今后逐步推廣。