谷歌和微軟公布新的CPU漏洞，將影響運行速度

微軟和谷歌共同披露了一個新的CPU安全漏洞，這個漏洞與今年早些時候披露的Meltdown和Specter漏洞相似。標記的投機商店繞行 （變體4），最新的漏洞與Spectre類似，利用現代CPU使用的投機執行。Safari，Edge和Chrome等瀏覽器在今年早些時候都會針對Meltdown進行修補，而英特爾表示「這些緩解措施也適用於變種4，並可供消費者使用」 。

然而，與Meltdown不同（更類似於Spectre），這個新漏洞還將包含可能影響性能的CPU固件更新。英特爾已經向原始設備製造商（OEM）以beta版形式向Speculative Store Bypass交付了微碼更新，並且該公司希望它們在未來幾周能夠更廣泛地獲得。固件更新將設置投機商店旁路保護為默認關閉狀態，確保大多數人不會看到負面的性能影響。

「如果啟用，我們已經觀察到性能影響約為2-8％，基於SYSmark 2014 SE等基準的總體評分以及客戶端1和伺服器2測試系統的SPEC整數率」 ， 英特爾安全主管Leslie Culbertson 解釋說 。

因此，最終用戶（特別是系統管理員）將不得不在安全性或最佳性能之間進行選擇。像以前的Specter變種一樣，這個選擇將歸結為單個系統和伺服器，而且這個新變種的風險似乎低於今年早些時候發現的CPU缺陷。

類似於3月份的Meltdown和Spectre CPU漏洞，微軟公司表示它在11月發現了這個新的漏洞。微軟發言人說： 「微軟以前發現了這個變體，並在2017年11月將其作為協調漏洞披露（CVD）的一部分向業界夥伴披露。微軟現在正在與英特爾和 AMD 合作 來確定系統的性能影響。

「我們正在繼續與受影響的晶元製造商合作，並已發布縱深防禦緩解措施，以解決我們的產品和服務中的投機執行漏洞」微軟發言人說。「我們不知道這個漏洞的任何實例影響Windows或我們的雲服務基礎設施。我們承諾儘快為客戶提供進一步緩解措施，我們針對低風險問題的標準政策是通過我們的更新星期二計劃提供補救措施」。

英特爾已經在為未來準備自己的 CPU 變化 。英特爾正在重新設計其處理器以防範類似Specter或這種新型號4的攻擊，該公司的下一代至強處理器（Cascade Lake）將包括新的內置硬體保護，以及下半年發布的第8代英特爾酷睿處理器。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！