烽巢网22日新闻,微软和谷歌联合披露了一种新的CPU安全漏洞,与今年早些时候披露的崩溃和幽灵的缺陷类似。被标记为投机性的存储绕过(变种4),最新的漏洞是对幽灵的类似利用,利用了现代cpu使用的投机性执行。今年早些时候,Safari、Edge和Chrome等浏览器都出现了故障,英特尔表示,“这些缓解措施也适用于版本4,可供消费者使用。”
然而,与崩溃(更类似于幽灵)不同的是,这个新的漏洞还将包括对可能影响性能的cpu的固件更新。英特尔已经向OEMs提供了beta版的微代码更新,并希望在未来几周内得到更广泛的应用。固件更新会将投机商店的旁路保护设置为默认的,确保大多数人不会看到负面的性能影响。
英特尔的安全主管Leslie Culbertson解释说:“如果启用了,我们已经观察到大约2- 8%的性能影响,这是基于SYSmark 2014 SE和客户端1和服务器2测试系统等基准的总体评分。”
因此,最终用户(尤其是系统管理员)必须在安全性或最佳性能之间进行选择。这个选择,就像之前的幽灵版本一样,将会归结到单个系统和服务器上,而且这个新变体的风险似乎比今年早些时候发现的CPU缺陷要小。
微软开始提供高达25万美元的漏洞,这些漏洞与3月份的崩溃和幽灵CPU缺陷类似,该公司表示,他们在11月发现了这个新漏洞。微软的一名发言人说:“微软此前发现了这一变种,并于2017年11月向业界合作伙伴披露,作为协调漏洞披露(CVD)的一部分。”微软目前正与英特尔和AMD合作,以确定性能对系统的影响。
微软发言人表示:“我们将继续与受影响的芯片制造商合作,并已发布了防御性的深度缓解措施,以解决我们产品和服务中存在的推测性执行漏洞。”“我们不知道这个漏洞类会影响Windows或我们的云服务基础设施。”我们承诺,只要客户有时间,我们就会向他们提供进一步的缓解,而我们的低风险问题的标准政策是通过我们周二的更新时间表来提供补救。
英特尔已经在为未来准备自己的CPU变化。英特尔正在重新设计其处理器,以防止类似幽灵或这种新变种的攻击,公司的下一代Xeon处理器(Cascade Lake)将包括新的内置硬件保护,以及2018年下半年交付的第8代英特尔核心处理器。
