App、内核、虚拟机、SGX、SMM,全都危险了。
8月14日,英特尔再次披露3个芯片级漏洞,恶意软件和恶意虚拟机可利用这些漏洞从计算机内存中盗取秘密信息。
口令、个人信息、金融记录和加密密钥均在受影响范围之列,可被攻击者从其他应用和其他客户的虚拟机,以及英特尔安全扩展(SGX)飞地及系统管理模式(SMM)内存中抽取出来。SGX是本应防护这些秘密不受恶意代码干扰的英特尔安全技术。SMM则是用户计算机的隐藏管理员,对计算机硬件有着完全控制权,且可访问计算机上存储的所有数据。
总体而言,英特尔的桌面、工作站和服务器CPU都谈不上安全。最重要的是,这些芯片并未按文档所述的方式工作:芯片技术手册称,内存可被标记为访问受限的。但实际情况却并不是这样。也就是说,脆弱主机上的恶意软件和云平台上的客户虚拟机,都可以从其他软件和其他客户的虚拟机中提取出敏感数据。
很明显,Chipzilla的管理层牺牲了安全来换取速度上的提升:他们的处理器在软件执行上堪称飞一般的速度,内存保护机制不过是事后聊以自慰的摆设。在对性能的无尽追求中,保护用户数据安全的防护措施被当成了可选项而不是必选项。
去除了预测执行设计缺陷的重制版英特尔处理器将于今年晚些时候开始发售。以操作系统和虚拟机管理程序补丁形式放出的缓解措施应该很快就会推出。如果你担心恶意软件或恶意虚拟机会吞噬掉宝贵的数据,那就应该打上这些补丁。请睁大眼睛紧盯补丁推出情况。某些软件缓解措施需要先安装上英特尔今年二季度的微代码更新。
因为涉及到从CPU一级数据缓存中抽取秘密信息,英特尔将这3个漏洞定名为“一级终端故障(L1TF)”漏洞:
1. CVE-2018-3615
CVE-2018-3615影响SGX。将于本周举行的Usenix安全研讨会上由多家学术机构予以披露。英特尔称:“装有带预测执行和SGX功能微处理器的系统,可能会被利用边信道分析获取了本地用户访问权的攻击者,从SGX保护的飞地未授权抽取出一级数据缓存中的信息。”发现该漏洞的团队将之命名为“预兆(Foreshadow)”。需要安装英特尔微代码更新才可以修复此漏洞。
2. CVE-2018-3620
CVE-2018-3620影响操作系统和SMM。英特尔称:“装有带预测执行和地址翻译功能微处理器的系统,可能会被利用终端页面错误和边信道分析获取了本地用户访问权的攻击者,未授权抽取出一级数据缓存中的信息。”想要修复该漏洞,操作系统内核便需打上补丁,SMM则要进行微代码更新。
3. CVE-2018-3646
CVE-2018-3646影响虚拟机管理程序和虚拟机。英特尔称:“装有带预测执行和地址翻译功能微处理器的系统,可能会被利用终端页面错误和边信道分析获取了客户操作系统本地用户访问权的攻击者,未授权抽取出一级数据缓存中的信息。”想要保护数据,微代码、操作系统和虚拟机管理程序都要更新。
操作系统和虚拟机管理程序级漏洞(CVE-2018-3620和CVE-2018-3646),是大学研究人员告知了SGX漏洞(CVE-2018-3615)后,由英特尔的工程师发现的。关于这些漏洞的影响,Chipzilla称:
“
恶意应用可能会推断出操作系统内存或其他应用中数据的值。恶意客户虚拟机可能会推断出虚拟机管理器(VMM)内存或其他客户虚拟机内存中数据的值。SMM外的恶意软件可能会推测出SMM内存中数据的值。英特尔SGX飞地内部或外部的恶意软件都可能推测出另一块SGX飞地中的数据。
值得指出的是,运行有多台客户提供的虚拟机的云平台上,这些客户操作系统必须打上补丁,否则,它们可能利用共享的底层主机硬件来盗取邻近虚拟机的信息。
这意味着,客户只应被允许使用平台提供的内置了缓解措施的内核,或者虚拟机管理软件必须被配置为不会安排陌生人的虚拟机运行在相同的物理CPU内核上,或者禁用超线程技术。正如 Red Hat 指出的,应用这些缓解措施可能会对性能造成打击。
英特尔表示:
“
部分市场,尤其是运行有传统虚拟化技术的那些(主要在数据中心),建议客户或合作伙伴采取额外的措施以保护他们的系统。这主要是为防止IT管理员或云提供商无法保证所有虚拟化操作系统都经更新的情况。这些额外措施包括启用特定的虚拟机管理程序核心调度功能,或选择在某些特定场景中禁用超线程技术。虽然这些额外的措施可能只适用于相对较小的部分市场,但我们觉得有必要为所有的客户提供解决方案。
“
这些特定案例中,某些工作负载的性能或资源利用率可能会受到不同程度的影响。英特尔及其行业合作伙伴正努力开发多个解决方案以消除此影响,客户可根据自身需要从中选择最佳方案。作为解决问题的一部分,我们已经开发了在系统运行期间检测L1TF相关漏洞利用的方法,仅在必要时应用缓解措施。我们已向部分合作伙伴提供了该功能的预发布微代码以供测试评估,希望能在此后加以推广。
针对上述漏洞,英特尔发布了带有详细信息的技术白皮书和FAQ。Red Hat 和Oracle也有各自的阐述。
同时,SUSE推出了一份在线咨询,微软也为其Windows拿出了安全建议,Xen和VMware对漏洞情况做了详细描述,Linux内核补丁的情况也能在网上查到。换句话说,用户现在就可以检查自己的操作系统和虚拟机管理器,找到相应的更新。
到底哪儿出错了?
我们来对问题打个总结:基本上,英特尔的CPU无视了操作系统内核页表。微软Windows和Linux之类的操作系统在内存中维护有名为页表的特殊数据结构,负责描述物理RAM该怎么分配给活跃应用程序。
这些页表在英特尔手册中也有定义,负责指定应用程序能不能在内存段中读写信息。页表有个名为“当前(present)”的设置位,设置为“1”表明某块物理RAM可供当前应用程序用于存储信息。如果设置为“0”,表明并未分配任何物理RAM,对该区域的任何访问都应遭遇“内存页错误”的封锁。
应用程序访问自身在内存中的数据用的是虚拟内存地址,该地址必须转换为指向RAM芯片中某个部分的物理内存地址才行。
为此,处理器会查询页表,以将应用程序的虚拟内存地址转换成相对应的物理RAM地址。该查询会耗费掉一定的时间,而现代英特尔CPU不会等待页表查完,它们会根据缓存在一级数据缓存中的所请求信息的副本,预测性地执行代码——即便页表指定该数据在物理内存中已失效而不应被读取。
其结果就是,恶意软件或恶意客户操作系统可利用该特性,通过强制标记页面为不存在并观察有哪些数据被预测性地从一级缓存中取出,来确定它本不应读取的数据。当然,这些操作得在处理器的页面故障电路介入并中断处理之前做完。
这就要求漏洞利用代码要运行在执行受害代码的同一块物理CPU核心上——因为漏洞利用代码需要观察一级数据缓存。
微软TechNet和虚拟化博客上也有更进一步的细节描述。
另外,微软Azure、AWS和谷歌计算引擎都已经推出了缓解措施。
避免被黑
必须指出:目前为止,还没有恶意软件在利用相关的熔断和幽灵漏洞,上述预测执行漏洞也未见野生漏洞利用,这有部分原因是因为业内已经推出了缓解措施,还有部分原因是因为另有其他更容易的黑客方法。
相比用特定方法搞定底层硬件开发出恶意软件来缓慢抽取内存中秘密,用虚假网站骗得用户输入网上银行登录口令要容易得多。某种程度上,我们还得感谢有别的方法可以让黑客不去利用这些芯片级漏洞。
英特尔发言人称:“今年早些时候发布的伪代码,加上14号开始放出的相关操作系统和虚拟机管理软件更新,已解决了L1TF问题。”
“
我们在网站上提供了更详细的信息,并一直建议用户更新系统,因为保持系统更新是受到保护的最佳方式。
| 相关下载 |
英特尔表示, 公司在 7 纳米制程上取得重大进展 ,并将在 1 月 21 日的电话会议上提供最新进展。 去年 7 月,英特尔宣布解雇时任总工程师默蒂 · 伦杜钦塔拉(Murt详情>>
截止1月14日收盘,英特尔在宣布换帅CEO后股价大涨6.97%,报56.95美元,创2020年7月大跌后新高。 1月13日,英特尔宣布,现任CEO Bob Swan将于今年2月15日离职,现任硅谷云服务详情>>
在持续进行中的2021CES展会上,作为全球芯片龙头企业的英特尔特别介绍了公司关于核心产品的进展情况,并介绍了公司更加全面的产品组合,此外,英特尔还分享了今年即将推出的详情>>
正在进行国际消费电子展CES2021中,英特尔推出包括27款专为商用的全新平台、6款面向教育市场的处理器、12款移动端高性能处理器和8款桌面端高性能处理器。2021年,英特尔详情>>
据知情人士称,英特尔计划委托台积电生产用于个人电脑的第二代独立显卡,希望藉此对抗英伟达的崛起。 这款名为 “DG2”的芯片将采用台积电的一种新的芯片详情>>
据国外媒体报道,芯片巨头英特尔此前已在官网宣布,在2021年度的国际消费类电子产品展览会(CES 2021)开始的当天,他们将举办两场新闻发布会,而在其中的一场发布会上,他们公布了详情>>
据国外媒体报道,在上周的报道中,外媒曾提到,在芯片制程工艺方面落后、面临压力的英特尔,正在考虑是否将部分高端芯片外包给台积电或者三星代工,最终的计划预计在1月21日的详情>>
在今天举行的2021国际消费电子展上,英特尔宣布已于近日开始生产的第三代英特尔至强可扩展处理器(代号“Ice Lake”)将于2021年第一季度实现规模量产。英特尔10详情>>
由线下改为线上举办的 CES 消费电子展,已经在本周拉开帷幕。芯片大厂英特尔,也在今天发布了多款桌面、移动端处理器。 从产品构成来看,本次英特尔新品主要有两大看点:一个是面详情>>
在 CES 2021 大展上,英特尔刚刚预热了即将于今年 3 月上市的 Rocket Lake S CPU,并向外媒 WccFtech 分享了一些游戏基准跑分信息。Rocket Lake 将成为英特尔首个 PCIe 4详情>>
荣耀在今年的CES展前公布了几款新设备。首先是新版MagicBook Pro笔记本电脑, 这次采用的是英特尔酷睿i5-10210U,而不是AMD Ryzen芯片组。事实上,这似乎是去年5月在中国详情>>
Apple Insider 报道称,英特尔正考虑将部分芯片外包给台积电代工,但目前仍在努力提升自家的产能。 早些时候,公司首席执行官 Bob Swan 曾向投资者表示,其将在 1 月 21 日的详情>>
LG 官方宣布,将在 CES 2021 展出五款 gram 系列新笔记本,分别为 LG gram 17(17Z90P)、LG gram 16(16Z90P)、LG gram 14(14Z90P)、LG gram 2 合 1 16(16T90P)和 LG gram 2 合 1 1详情>>
根据外媒 VideoCardz 的消息,技嘉宣布带有 PCIe 4.0 设计的 Z490 主板将支持 11 代桌面处理器,只需 BIOS 升级。 技嘉还表示,最新的第 11 代英特尔桌面酷睿处理器将详情>>
外媒报道称,英特尔推出了一款基于 RealSense ID 传感器的面容识别解决方案,能够为 ATM 和智能门锁等应用场景提供技术支持。 据悉,RealSense ID 集成了一个能扫描用户面详情>>
据外媒 anandtech 消息,英特尔于 1 月 4 日发布通知,宣布将停产 300 系列主板芯片组,包含 Z390、Z370、B365、H310、QMS380 。该系列芯片组于 2017 年发布,适用于英特详情>>
基准测试 PassMark 平台公布了其 2021 年第一季度的统计结数据。随着 AMD 新一代 Zen3 的推出,AMD 和英特尔在全球台式机 CPU 市场上的份额终于再一次回到了 1:1 的起跑线详情>>
1月5日消息,基准测试PassMark平台公布了其 2021年第一季度的统计结数据。 随着AMD新一代 Zen3 的推出,AMD 和英特尔在全球台式机 CPU 市场上的份额终于再一次回到了 详情>>
根据PassMark的数据,十五年来,AMD首次在全球台式机CPU市场份额上超过了英特尔。 这一消息标志着AMD在缩小与英特尔差距方面又迈出了一步。基准测试巨头PassMark软件公司详情>>
据外媒 techradar 消息,Linux 系统的发明人 Linus Torvalds 在参加一场活动时发表讲话,抨击英特尔目前禁止消费级平台使用 ECC 自动纠错内存的政策。 在一场有关 AM详情>>
近日,精英主板发布了一款搭载英特尔 SoC 芯片的迷你主板 GLKD-HTI。这款主板长度仅为 170mm,宽度 85mm,仅相当于 Mini-ITX 主板的一半大小。主板支持 64 位 Win10,接口齐详情>>
英特尔即将正式发布第 11 代桌面处理器,以及配套的 500 系主板芯片组。新的芯片组将全面支持 PCIe 4.0 协议,据外媒 wccftech 消息,英特尔 Z590 几款主板已经送测,每个主详情>>
1 月 2 日消息 日前,ROG 宣布将在 1 月 13 日上午 2 点举行新品发布会。今天,华硕也发布预告,将于 1 月 14 日上午 1 点举行 CES 发布会。 如上图所示,华硕的海报是详情>>
英特尔在本周的 IEEE 国际电子设备会议上展示了一项新的研究,或为续命摩尔定律提供下一步可行方向。此项研究是英特尔一直热衷的堆叠纳米片晶体管技术, 通过将 PMOS 和详情>>
今年 11 月份,首款搭载英特尔独显 Xe Max 的轻薄本宏碁非凡 S3 X 上市,除此之外华硕的 VivoBook Flip 14 也搭载了这款独显,但是没有在大陆上市。 今天,外媒在最新的驱详情>>
针对昨日发布的 Linux 5.11-rc1,Phoronix 已经迫不及待地对该 Linux 内核版本展开一系列早期的基准测试。 此外从 Intel Gen 9 和更高版本的 GPU 表现来看(比如最新的 X详情>>
英特尔一款 12 代酷睿 Alder Lake 现已现身 Geekbench 数据库,这款大小核架构的处理器被识别为 16 核 24 线程,睿频高达 17.6GHz。 如上图所示, 这款 Alder Lake-S 详情>>
12 月 28 日消息 英特尔明年即将发布的 11 代酷睿桌面处理器 i7-11700K 已经出现在了 Geekbench 上,单核跑分达到了 1800 分以上,超过了 AMD 不久前发布的 Ryzen 9 5950详情>>
根据慧荣官方的消息,英特尔日前发布的 670p SSD 与 H20 混合硬盘均采用慧荣科技主控芯片产品。 据了解到,670p 是继 660p 和 665p 之后的一款全新的 3D Q详情>>
外媒报道称,英特尔刚刚发布的 11 代酷睿(Core)处理器、以及专门面向无线基站应用的凌动(Atom)P5900 片上系统(SoC),都采用了该公司的 10nm 芯片制程。 然而英特尔高级副总裁兼详情>>
继今年早些时候推出Thunderbolt 4作为英特尔Tiger Lake CPU的一部分之后,TB4硬件堆栈的下一块已经在本周落下帷幕,英特尔发布了首款独立的Thunderbolt 4控制芯片Maple R详情>>
高产爆料人 @TUM_APISAK,刚刚在 Twitter 上分享了 AMD 锐龙 R5-5600H“Cezanne-H Zen 3”、以及英特尔酷睿 i5-11300H“Tiger Lake-H”移动处理器详情>>
根据爆料者 @APISAK 的消息,英特尔 11 代移动标压处理器 i5-11300H 已经出现在了 Geekbench 数据库中。 如上图所示, i5-11300H 为 4 核 8 线程,主频 3.1GHz,睿频 4.4详情>>
京信通信昨日公告,英特尔亚太研发有限公司与京信通信附属公司京信网络系统股份有限公司(下称“京信网络”)签订认购协议,英特尔亚太研发有限公司将认购京信网络详情>>
根据英特尔官方的消息,在 2020 腾讯云 Techo Park 开发者大会期间,英特尔联合腾讯正式发布搭载下一代英特尔至强可扩展处理器(代号 “Ice Lake”)的腾讯云星星详情>>
一枚英特尔 11 代 11900 ES 版本的处理器在闲鱼 App 遭到曝光,卖家标价 2999 元,表示这款处理器为 11900 ES 不显版 。同时这名卖家还曝光了该处理器搭配微星 Z490i 详情>>
正在开发的 Linux Kernel 5.11 内核分支中,将会对网络子系统进行更新。这些改进包括: ● 英特尔 WiFi “IWLWIFI”驱动现为 WiFi 6E 支持 6GHz 频段/ Ult详情>>
@TUM_APISAK 在 Twitter 上爆料称,一款英特尔 Xe 独显已经现身 Geekbench 基准测试数据库。 从参数来看,它似乎是一款入门级产品,并在英特尔 9 代酷睿平台上进行了跑分。详情>>
爆料者 @9550pro 曝光了英特尔即将发布的 “黑豹峡谷”NUC 11 Performance 的内部材料。 如上图所示, “黑豹峡谷”NUC 11 Performance 将可详情>>
很难为英特尔找到一个合理原因,去解释为什么主板发布日期会比处理器发布日期提前整整一个月。 详情>>
