英特尔宣布修复史诗级漏洞：熔断和幽灵有望被全面隔断

文/水哥

差点逼迫业界芯片文明倒退十年的史诗级处理器漏洞Meltdown（熔断）和Spectre（幽灵）在芯片厂商、操作系统/平台商、云商、开发者的共同努力修补下，这场由此酿成的业界巨大风波开始趋于一段时间的沉寂。最近，芯片制造方传来好消息，不久前英特尔表示将在今年晚些时候推出硬件/架构级改进的处理器芯片，以保护CPU免受近期两组知名漏洞的攻击。英特尔CEO柯再奇在公司博客的公开信中宣布了这一消息。

柯再奇在信中对所有的合作伙伴甚至是竞争对手（AMD）为这段时间的通力合作表示感谢，他指出过去5年来所受两组漏洞影响的全部处理器产品，迄今为止都收到了微码的更新，但仅仅是软件层面的修复还不足以完全阻断Project Zero团队发现的侧通道攻击漏洞，特别是Spectre的两个变种。相比通过软件更新可以缓解的Meltdown，Spectre比前者更难修复。

去年夏天，英特尔与其竞争对手在过去几十年中几乎所有处理器芯片上都出现了严重的安全漏洞。安全小组Google Project Zero的研究员Jann Horn在六月份向英特尔安全部门报告称发现了CPU关键部分的设计问题。

现代处理器一般有许多闲置的算力，为了高效利用这些算力，一般在前置程序完成之前，处理器就能计算出几个选项来预测后续执行，该行为被称作“投机执行”，这在处理器设计上是有意义的。但谷歌的研究人员与随后的几个学术团队通过实验找到了在CPU推测执行中通过侧信道攻击泄露缓冲中的敏感信息并获取加密密钥等数据的方法，研究人员把该漏洞称为Specter的两个变种。第三个变种是Meltdown，由于在云端多个客户的程序运行在同一处理器上，并且可能在网页浏览器中不知不觉地运行了恶意代码，所以对云服务器而言威胁尤为严重。

关于Specter的两个变体，变体1将继续通过软件和补丁更新修复缓解。因为针对变种1的修复要求用户终端经常检查和更新能够被恶意代码利用的潜在沙箱环境，例如浏览器中的JavaScript。而变种2的攻击适用于硬件修复，目前英特尔提供的防护方案采用操作系统补丁和处理器微代码更新的复合。微代码的更新为操作系统提供新的功能，允许系统对处理器推测执行的硬件作某些限制。目前还不清楚英特尔针对硬件解决方案的具体细节，预测方案将改变CPU“投机执行”的方式以防止有问题的推测发生。

针对Meltdown的攻击，目前的已有方案已提供了强大的补丁更新和软件防护，但是不同处理器保护的影响各异。在某些工作负载下的旧芯片上，保护Meltdown漏洞亦产生一定的算力开销，尽管相对于大多数现代处理器而言，这种算力开销可以忽略不计，但英特尔表示将尽可能通过硬件修复来彻底取代软件保护，以完全消除这种算力上的额外支出。

英特尔还公开说明，公司重新设计了处理器的各个部分，通过分区来引入新的保护级别，以防止变种2和变种3的影响。这种分区可视为应用程序和用户许可权级别之间的额外的“保护墙”，为潜在的黑客攻击制造障碍。这些变化将出现在代号Cascade Lake的下一代英特尔至强处理器以及2018下半年将要发布的第8代酷睿处理器上。

柯再奇声称处理器生产的目标不仅仅是提供最佳性能，还有最佳安全，但是目前的工作并没有做完，针对两组芯片漏洞也并非单一的事件，英特尔在处理器安全上所作的努力是一个长期的承诺。

透过英特尔的态度我们可知，“熔断”和“幽灵”两组芯片漏洞的影响虽然通过迄今为止的补丁和硬件修复得到抑制，但并没有完全消除。软件层面的修复造成计算机性能下降，这种算力上的额外开销仍然存在。而未来针对芯片漏洞的最佳修复方案将集中在处理器架构/硬件上的改进，这已逐渐成为芯片厂商、行业各方之共识。

不过，从事件伊始相关各方的焦头烂额到如今柯再奇的踌躇滿志，不难看出英特尔对两组芯片漏洞的完全修复充满信心，而该事态的发展也将愈趋乐观。很有可能的是，在不久的将来我们大可不必再为“人类是否应该牺牲一部分算力资源以换取信息安全”这类问题而被迫作出权衡与取舍。

文/水哥 高级工程师，科技专栏作者，中国计算机学会会员。IT评论，业界分析，不一而足。