Intel幽灵/熔断漏洞修复的幕后故事

今年年初，Google Project Zero团队发现的Intel幽灵/熔断漏洞，曾在全世界引起轩然大波。在全球运行Intel CPU的数百万台电脑中，“幽灵”的一个补丁会导致某些计算机死机或自动重启。虽然这只影响了一小部分市场，但已经蔓延到足以让PC制造商惊慌失措的程度，他们立即暂时召回了更新后的软件。当新闻传出之后，Intel的股价更是遭受重击，因为投资者害怕安全问题会减缓芯片销售。

随着时间的推移，英特尔和行业内各公司通力合作，眼下对于这一问题的解决已经有了可喜的进展。近日，英特尔CEO科再奇（Brian Krzanich）在一篇题为“从芯片层面增强安全”的博客文章中，明确表示过去五年发布的Intel处理器已经全部修复了Spectre幽灵漏洞的第一个变种，而在下一代处理器中将重新设计硬件，完全免疫幽灵漏洞第二个变种和Meltdown熔断漏洞。“Intel的下一代至强处理器（Cascade Lake），以及2018年下半年发布的第9代酷睿处理器，都将包括新的分区保护措施。”

“幽灵”和“熔断”

从2017年7月初，Intel和其他芯片制造商已经意识到漏洞的影响范围巨大并召集了多个小组来开发解决方案。在芯片制造商Intel工作了20年的资深高管Singhal召集了多次晨会——有时候会持续两个小时——来协调英特尔在俄勒冈州、加州、德克萨斯州和以色列的应急响应办公室。来自不同时区的人意味着不停歇地全天候处理这个问题。

据了解，英特尔的计划是首先发布软件补丁，然后把保护措施纳入未来的芯片设计中。软件补丁的代价是降低了受影响CPU的性能，而降低的程度取决于英特尔芯片的类型以及运行的程序。在一台配备Kaby Lake 酷睿i7处理器的PC上进行的一次测试表明，大多数应用的速度降低了不到10%，在日常使用中难以觉察到。但微软警告说，运行Windows 7或8以及5年前的英特尔Haswell处理器的PC会受到重大影响。

对Singhal来说，下一步就是把修复措施直接嵌入即将发布的处理器硬件中，而改进后的硬件设计将为今年下半年发布的第八代酷睿处理器，以及有望在第四季度推出的代号为“Cascade Lake”的至强服务器芯片做好准备。

事实上，这些严重的安全漏洞存在于Intel及其竞争对手在过去几十年制造的几乎所有芯片中。去年夏天刚发现的时候，这些漏洞并不起眼。微软就曾针对此前披露的“推测执行”CPU 漏洞，宣布了新的 Bug 悬赏计划：一旦有人发现了类似熔断或幽灵的 CPU 漏洞，将有可能获得微软提供的高达25万美元的奖励。这一悬赏计划将一直持续到今年年底。

我们知道。现代芯片通常有很多空闲的处理能力，因此，程序在早期步骤执行完毕之前，会计算几个解决问题的选项，这是情理之中的事。这种被称为预测执行的性能增长策略随后会丢弃不符合早期步骤执行结果的答案。但是，Google的研究人员以及随后的几个学术界团队，都发现了欺骗芯片、使其泄露密码和加密密钥等数据的方式，因为预测执行计算使用了这些数据。

研究人员把这种欺骗方法的其中两个变体称为“幽灵”，这是《007》电影中与詹姆斯·邦德对抗的邪恶组织的名称，并把第三个变体称为“熔断”，因为它可以有效地“熔断”安全障碍。这个危险对于云服务器来说尤其严重，因为来自多个客户的程序可能会在同一个芯片上并在网络浏览器中运行，而网络浏览器可能不知不觉地执行来自一个网站的代码。

以漏洞变体2举例。它利用了计算机的一项重要特性，即预测执行(speculative execution)。预测执行可以加强CPU的速度与性能，在CPU实际发出请求之前，就预测CPU可能执行的任务。预测执行功能就像是一个探路员，运行在CPU的众多其他功能和能力之前。它的目标是通过预先探索CPU的各种可能任务，为整个系统加速。

想象一下当我们的探路员走到半路，遇到一个多岔路口的情况：一个引导员突然出现，指挥它走一条特定的路线。但不幸的是，那个引导员其实是个坏人，是通过恶意程序进入的系统。随着我们通过路口，这个坏人偷偷地将自己绑在探路员身上，那么他就可能看到我们的探路员在这部分路途中看到的一部分东西，包括隐私信息。最终，探路员会发觉自己走了一条错误的路，然后回到最初的岔路口，重回正轨，但那时，坏人可能已经获取了自己想要的信息。

Intel最新的分区措施

据悉，再奇设立了一个新的小组IPAS（Intel产品保障与安全），不仅修复“幽灵”和“熔断”漏洞，还将更高效地应对未来的安全问题。1979年就加入Intel的高管Leslie Culbertson负责领导IPAS小组。

科再奇说，“这是一个全新的研究领域和全新的安全理解领域，需要Intel的长期投资”，重点将是发现未来的漏洞，还有如何让芯片更安全这个普遍问题，“你会看到持续的进展——这就是这个团队的工作”。

据悉，新的分区措施在常规应用程序和用户权限级别之间建立了一堵额外保护墙，从而阻止像幽灵这样的漏洞。不过现有的Intel CPU用户别无选择，只能依靠固件更新防范幽灵漏洞，但是这可能会导致CPU性能下降。Intel的新产品似乎无须因此担心，“当我们发布这些新产品时，满足人们对性能提升的期望是至关重要的。”科再奇说：“我们从一开始就说，我们认为影响微不足道。分析师需要意识到，我们持续进行此类改进——提高安全性和性能以及增加新功能，以推动升级换代。我们不仅追求最强大的性能，还要提供最安全的服务。”

文：朱颖婕

编辑制作：朱颖婕

责任编辑：姜澎

*独家稿件，转载请注明出处。