Intel披露L1TF安全漏洞 公布防禦措施

【PChomeDIY頻道資訊報道】自從今年初Spectre幽靈、Metldown熔斷兩大安全漏洞被曝光、對整個處理器行業造成重大衝擊以來，以Intel為首的軟硬體行業公司都加強了對於處理器安全漏洞的檢測、防範和修復。現在，Intel與夥伴主動披露了一個新的安全漏洞「L1終端故障」(L1 Terminal Fault)，簡稱L1TF，並同時公布了完整的防禦措施。

L1TF是一種最近發現的推測執行側信道分析的安全漏洞，會影響一部分支持Intel SGX軟體保護擴展的處理器，包括自第二代酷睿(Sandy Bridge)以來的各類桌面、移動筆記本、伺服器和數據中心產品。該漏洞由魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學、Data61的研究人員首次發現並向Intel報告。

Intel進一步研究後發現，L1TF漏洞的另外兩種相關應用還存在影響其它處理器、操作系統和虛擬化軟體的可能。L1TF和此前發現的幽靈漏洞多個變體類似，三種應用都是與預測執行側信道緩存計時相關的漏洞，不過這次的攻擊目標是一級數據高速緩存，其中存儲著關於「處理器內核下一步最有可能做什麼」的信息。

L1TF漏洞報告是Intel主動公布的，因為在此之前Intel已經完成了相關研究，並部署了相應的防禦措施。事實上，Intel今年早些時候發布的微代碼更新(MCU)，就包含了針對L1TF所有三種應用的防禦策略，為系統軟體提供了清除該共享緩存的方法。即日起，行業合作夥伴和開源社區也會陸續發布針對操作系統和管理程序軟體的相應更新。此外，今年3月份Intel就已經宣布，會在硬體層面作出改變，以抵禦安全漏洞，其中就包括L1TF在內，首先是代號Cascade Lake的下一代Xeon至強可擴展處理器，和今年晚些時候推出的全新PC處理器。

Intel預計，針對漏洞進行系統更新後，運行非虛擬化操作系統的消費者和企業用戶面臨的安全風險會降低，而基於在測試系統上運行的性能基準測試，尚未看到上述防禦措施對性能產生任何顯著的影響。針對另外一部分市場，特別是數據中心領域運行傳統虛擬技術的，由於無法保證所有虛擬化系統已安裝必要更新，Intel建議採取額外措施來保護其系統，包括啟用特定管理程序內核調度功能、在某些特定場景中關閉超線程。

對於這些特定情況，某些特定負載上的性能或資源利用率可能會受到影響，並相應發生變化。為此，Intel已經開發了一種方法，可以在系統運行期間即時檢測基於L1TF漏洞的攻擊，只在必要時才啟用防禦措施。Intel已經為一些合作夥伴提供了具有這項功能的預覽版微代碼，供評估試用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！