- 關(guān)于L1TF安全漏洞的細(xì)節(jié)和防御措施
北京2018年8月16日電 /美通社/ -- 近日,英特爾公司執(zhí)行副總裁兼產(chǎn)品保障與安全部門總經(jīng)理 Leslie Culbertson 撰文“抵御安全威脅,全程為客戶保駕護(hù)航”,解讀關(guān)于 L1TF 安全漏洞的細(xì)節(jié)和防御措施,如下是文章全文:
英特爾產(chǎn)品保障與安全部門(IPAS)專注于網(wǎng)絡(luò)安全,并一直付諸努力,為我們的客戶保駕護(hù)航。最近的舉措包括我們的安全漏洞賞金計(jì)劃的擴(kuò)大,與安全研究領(lǐng)域合作的加強(qiáng),持續(xù)開展的內(nèi)部安全測(cè)試,以及對(duì)我們的產(chǎn)品進(jìn)行的安全測(cè)試與檢查。我們之所以高度重視,是因?yàn)槲覀冎缾阂夤粽邥?huì)不斷發(fā)起更加復(fù)雜的安全攻擊。這需要全行業(yè)共同防御、并肩作戰(zhàn),以獲得解決方案。
今天,英特爾和我們的行業(yè)合作伙伴們發(fā)布了被命名為L(zhǎng)1終端故障(L1 Terminal Fault,簡(jiǎn)稱為L(zhǎng)1TF)的詳細(xì)情況和防御措施。L1TF 是一種最近發(fā)現(xiàn)的推測(cè)執(zhí)行側(cè)信道分析的安全漏洞,會(huì)影響一部分支持英特爾®軟件保護(hù)擴(kuò)展(英特爾® SGX)的微處理器產(chǎn)品。魯汶大學(xué)*、以色列理工學(xué)院*、密歇根大學(xué)*、阿德萊德大學(xué)*和Data61*1的研究人員首次向我們報(bào)告了這個(gè)問(wèn)題。我們的安全團(tuán)隊(duì)經(jīng)進(jìn)一步研究,發(fā)現(xiàn) L1TF 的另外兩種相關(guān)應(yīng)用還存在影響其它微處理器、操作系統(tǒng)和虛擬化軟件的可能。
更多信息請(qǐng)參閱: 安全漏洞和英特爾產(chǎn)品(新聞資料) | 安全研究微站 (Intel.com)
首先,我來(lái)回答關(guān)于防御措施的問(wèn)題。我們今年早些時(shí)候發(fā)布的微代碼更新(MCUs)是針對(duì) L1TF 所有三種應(yīng)用的防御策略的重要組成部分。除了這些微代碼更新,我們的行業(yè)合作伙伴和開源社區(qū)從今天開始也發(fā)布了針對(duì)操作系統(tǒng)和管理程序軟件的相應(yīng)更新。這些安全更新將為消費(fèi)者、IT專業(yè)人員和云服務(wù)提供商提供其所需要的保護(hù)。
此外,我們?cè)谟布用孀鞒龅母淖円矔?huì)抵御 L1TF。我們?cè)诮衲?月份宣布,這些硬件層次的改變,將率先應(yīng)用在我們的下一代至強(qiáng)® 可擴(kuò)展處理器(研發(fā)代號(hào)為Cascade Lake)以及預(yù)計(jì)今年晚些時(shí)候推出的全新個(gè)人電腦處理器。
我們目前還沒(méi)有收到這些漏洞被實(shí)際攻擊利用的報(bào)告,但這進(jìn)一步突出了全行業(yè)均遵循較佳安全實(shí)踐的必要性。這些實(shí)踐包括:即時(shí)更新電腦系統(tǒng)、采取措施以防止惡意軟件等。有關(guān)上述實(shí)踐的更多信息,可參考國(guó)土安全部網(wǎng)站(英文)。
關(guān)于 L1TF
L1TF 的三種應(yīng)用都是與預(yù)測(cè)執(zhí)行側(cè)信道緩存計(jì)時(shí)相關(guān)的漏洞。在這方面,它們與之前報(bào)告的變體類似。它們的目標(biāo)是訪問(wèn)一級(jí)數(shù)據(jù)高速緩存 -- 這是每個(gè)處理器內(nèi)核中的一小塊內(nèi)存,用來(lái)存儲(chǔ)關(guān)于“處理器內(nèi)核下一步最有可能做什么”的信息。
我們今年早些時(shí)候發(fā)布的微代碼更新,為系統(tǒng)軟件提供了一種清除該共享緩存的方法。
在系統(tǒng)更新后,我們預(yù)計(jì)那些運(yùn)行非虛擬化操作系統(tǒng)的消費(fèi)者和企業(yè)用戶(包括大多數(shù)的數(shù)據(jù)中心和個(gè)人電腦)所面臨的安全風(fēng)險(xiǎn)會(huì)降低?;谖覀?cè)跍y(cè)試系統(tǒng)上運(yùn)行的性能基準(zhǔn)測(cè)試,我們尚未看到上述防御措施對(duì)性能產(chǎn)生任何顯著的影響。
針對(duì)另外一部分市場(chǎng) -- 特別是運(yùn)行傳統(tǒng)虛擬技術(shù)的細(xì)分領(lǐng)域(主要在數(shù)據(jù)中心領(lǐng)域),我們建議客戶或合作伙伴采取額外措施來(lái)保護(hù)其系統(tǒng)。這主要是為了在IT管理員或云服務(wù)商無(wú)法保證所有虛擬化操作系統(tǒng)都已安裝必要更新時(shí),應(yīng)對(duì)并防護(hù)該種情況下可能出現(xiàn)的風(fēng)險(xiǎn)。這些措施可以包括啟用特定管理程序內(nèi)核調(diào)度功能,或在某些特定場(chǎng)景中選擇不使用超線程功能。這些額外措施可能只適用于相對(duì)較小的應(yīng)用領(lǐng)域,但對(duì)我們來(lái)說(shuō),為所有客戶均提供解決方案至關(guān)重要。
對(duì)于這些特定情況,某些特定負(fù)載上的性能或資源利用率可能會(huì)受到影響,并相應(yīng)發(fā)生變化。我們與行業(yè)合作伙伴正在研究多種解決方案來(lái)應(yīng)對(duì)這一影響,以便客戶可以根據(jù)自己的需求選擇較佳方案。為此,我們已經(jīng)開發(fā)了一種方法,以在系統(tǒng)運(yùn)行期間即時(shí)檢測(cè)基于 L1TF 漏洞的攻擊,并僅在必要時(shí)才啟用防御措施。我們已經(jīng)為一些合作伙伴提供了具有這項(xiàng)功能的預(yù)覽版微代碼,以供他們進(jìn)行評(píng)估試用,并希望在今后逐步推廣這一功能。
欲了解更多關(guān)于 L1TF 的信息 -- 包括面向IT專業(yè)人員的詳細(xì)指導(dǎo),請(qǐng)查看安全中心的建議。我們還在我們“誓保安全第一”網(wǎng)站提供一份白皮書和最新常見問(wèn)答。
我要再次感謝我們的行業(yè)合作伙伴和最先報(bào)告這些問(wèn)題的研究人員,感謝他們的全力配合,以及對(duì)協(xié)同披露做出的共同承諾。英特爾致力于為我們的產(chǎn)品提供安全保障,并將繼續(xù)提供定期更新,以及時(shí)披露我們發(fā)現(xiàn)的安全問(wèn)題以及相應(yīng)的防御措施。
我們一如既往的呼吁,所有人都應(yīng)該及時(shí)更新系統(tǒng)以便充分利用最新的安全防護(hù)措施。
1Raoul Strackx、Jo Van Bulck、Marina Minkin、Ofir Weisse、Daniel Genkin、Baris Kasikci、Frank Piessens、Mark Silberstein、Thomas F. Wenisch和Yuval Yarom |
注:英文原文鏈接 https://newsroom.intel.com/editorials/protecting-our-customers-through-lifecycle-security-threats/