英特爾官宣第三大漏洞 L1TF 細節與防禦措施

8 月 16 日早間，雷鋒網曾報道，英特爾晶元發現新漏洞「預兆（Foreshadow）」，這是 2018 年初英特爾晶元被曝「熔斷」和「幽靈」漏洞之後的第三個重要漏洞。

據稱，這個漏洞可能讓攻擊者竊取存儲在計算機或第三方雲上的信息，漏洞由一些研究人員發現並於1月向英特爾報告，該漏洞包括為 L1TF 或  L1 Terminal Fault 三個品種。隨後，研究人員又發現了兩個被叫做「Foreshadow-NG」的類似變體，會攻擊代碼、操作系統、管理程序軟體以及其它微處理器。

8 月 16 日，英特爾方面給雷鋒網發來了關於此漏洞的詳細說明。

在英特爾的說明中，這一漏洞不叫「預兆」，而被命名為 「L1 終端故障（L1 Terminal Fault，簡稱為 L1TF）」。

L1TF 是一種最近發現的推測執行側信道分析的安全漏洞，會影響一部分支持英特爾軟體保護擴展的微處理器產品。與英國金融時報報道的「該漏洞由兩個研究團隊發現」不一樣的是，英特爾稱，「魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學和 Data61 的研究人員首次向我們報告了這個問題」，經英特爾安全團隊進一步研究，他們發現 L1TF 的另外兩種相關應用還存在影響其它微處理器、操作系統和虛擬化軟體的可能。

這份說明還指出，L1TF 的三種應用都是與預測執行側信道緩存計時相關的漏洞。在這方面，它們與之前報告的變體類似。它們的目標是訪問一級數據高速緩存——這是每個處理器內核中的一小塊內存，用來存儲關於「處理器內核下一步最有可能做什麼」的信息。今年早些時候，英特爾發布了微代碼更新（MCUs），該更新是針對 L1TF 所有三種應用的防禦策略的重要組成部分，為系統軟體提供了一種清除該共享緩存的方法。除了這些微代碼更新，英特爾還發布了針對操作系統和管理程序軟體的相應更新。

此外，英特爾稱，在硬體層面作出的改變也會抵禦 L1TF，這些硬體層次的改變將首先應用在下一代至強可擴展處理器（研發代號為Cascade Lake）以及預計今年晚些時候推出的全新個人電腦處理器上。

目前，英特爾方面還沒有收到這些漏洞被實際攻擊利用的報告。

附英特爾關於該漏洞的防禦措施及修復建議：

在系統更新後，我們預計那些運行非虛擬化操作系統的消費者和企業用戶（包括大多數的數據中心和個人電腦）所面臨的安全風險會降低。基於我們在測試系統上運行的性能基準測試，我們尚未看到上述防禦措施對性能產生任何顯著的影響。

針對另外一部分市場 —— 特別是運行傳統虛擬技術的細分領域（主要在數據中心領域），我們建議客戶或合作夥伴採取額外措施來保護其系統。這主要是為了在IT管理員或雲服務商無法保證所有虛擬化操作系統都已安裝必要更新時，應對並防護該種情況下可能出現的風險。這些措施可以包括啟用特定管理程序內核調度功能，或在某些特定場景中選擇不使用超線程功能。這些額外措施可能只適用於相對較小的應用領域，但對我們來說，為所有客戶均提供解決方案至關重要。

對於這些特定情況，某些特定負載上的性能或資源利用率可能會受到影響，並相應發生變化。我們與行業合作夥伴正在研究多種解決方案來應對這一影響，以便客戶可以根據自己的需求選擇最佳方案。為此，我們已經開發了一種方法，以在系統運行期間即時檢測基於L1TF漏洞的攻擊，並僅在必要時才啟用防禦措施。我們已經為一些合作夥伴提供了具有這項功能的預覽版微代碼，以供他們進行評估試用，並希望在今後逐步推廣這一功能。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！