在今年1月,谷歌Project Zero 團隊(GPZ)*披露了基于預測執行的側信道分析方法之后,英特爾一直持續與業界研究人員合作,以了解類似的方法是否會被用于其他領域。我們知道,在一個可預測的周期內通常會出現新型的安全漏洞,包括原始安全漏洞的新變體。
具體到側信道攻擊的漏洞也不例外,我們今年初采取的其中一個措施是加大漏洞報告賞金計劃,支持并加速發現新的方法來識別漏洞。這項計劃獲得的反響令人鼓舞,我們感謝一直以來安全研究社區與我們的緊密合作。
更多信息請參閱:安全隱患與英特爾產品(新聞資料)及最新安全研究結果及英特爾產品說明(Intel.cn)
作為這項持續工作的一部分,針對影響我們和其他芯片制造商的原始漏洞新變體,今天英特爾和行業合作伙伴公布了相關細節和防御信息。新的變體被稱為變體4,由GPZ和微軟安全響應中心(MSRC)聯合公布*。
秉承英特爾誓保安全第一的精神,我希望解釋一下這個新變體是什么,以及用戶如何保護自己。首先,我想說的是,我們還沒有看到任何有關于這種方法被利用的報告。而且,針對潛在漏洞,用戶和IT專業人士有多種方法可保護自己的系統,包括目前已經部署并可用的基于瀏覽器的防御措施。
關于變體4
就像其他GPZ變體,變體4使用了預測執行(大多數現代處理器架構所普遍采用的功能),可能通過側信道而暴露特定類型的數據。在這種情況下,研究人員在基于語言的運行時環境中演示了變體4。雖然我們沒有看到利用瀏覽器成功攻擊的漏洞例子,但運行時最常見方式是使用網頁瀏覽器,如JavaScript。
從1月份開始,大多數主要瀏覽器廠商在其管理的運行時中,部署了變體1的防御措施,大大增加了在網絡瀏覽器中利用側信道的難度。這些防御措施也適用于變體4,目前已經可供用戶使用。然而,為了確保我們提供全面防御措施并防止這種方法用在其他方面,我們和行業合作伙伴正在為變體4提供額外的防御,其中結合了微代碼和軟件更新。
我們已經向OEM系統制造商和系統軟件提供商提供了針對變體4的測試版微代碼更新,預計未來幾周將用于生產BIOS和軟件更新。這個防御措施會被設置為默認關閉,讓用戶選擇是否啟用。我們預計大多數行業軟件合作伙伴會采用默認關閉選項。在默認關閉配置下,我們沒有觀測到對性能有任何影響。如果啟用,根據客戶端1和服務器2測試系統上的SYSmark? 2014 SE和SPEC整數率等基準測試整體得分,我們觀察到有大約2-8%的性能影響。
該更新還包括針對Arm*在1月公開記錄的變體3a(惡意系統注冊器讀取)的微代碼。對于變體3a的防御措施,我們在客戶端或服務器基準測試中尚未觀察到任何有意義的性能影響3。我們已經把這兩個微代碼更新捆綁到一起,以便為行業合作伙伴和客戶簡化流程。我們意識到更加可預測且整合的更新流程將對整個生態系統有所幫助,因而我們會繼續這種做法。
在我們的產品安全中心頁面,我們提供了有關受影響的英特爾產品的更多信息,以及白皮書和其他資源,幫助IT專業人士評估其環境的風險級別。此外,我們更新了安全第一網站,列出了最新的常見問題,以幫助任何需要更多信息的人。與以往一樣,我繼續鼓勵大家保持系統更新到最新狀態,因為這是確保您始終擁有最新防護措施的最簡單的方法之一。
我和英特爾每個人工作的重中之重,依然是保護我們用戶的數據并確保產品的安全性。對側信道安全方法的研究將會繼續,同樣,我們將會繼續與行業合作伙伴合作,為客戶提供所需的保護。事實上,我們相信,我們將能夠針對任何未來側信道問題為英特爾產品開發防御方法。
我謹代表整個英特爾團隊,感謝行業合作伙伴和客戶的持續支持。
1 客戶端測量是基于英特爾內部參考平臺和一個第八代智能英特爾? 酷睿? 臺式機處理器。具體而言,觀察到的性能影響根據SYSmark 2014 SE整體得分是4%,根據SPECint_rate_base2006(n copy)整體得分是2%,根據SPECint_rate_base2006(1 copy)整體得分是8%。
2 服務器測量是基于英特爾內部參考平臺和一個英特爾? 至強?處理器可擴展系列(之前的Skylake)處理器。具體而言,觀察到的性能影響根據SPECint_rate_base2006(n copy)整體得分是3%,根據SPECint_rate_base2006(1 copy)整體得分是8%。
3 0-1%的性能影響
在進行額外測試后,上述英特爾報告的基準測試結果可能需要修訂。該結果取決于測試中使用的具體平臺配置和工作負載,可能不適用于任何具體用戶的組件、計算機系統或工作負載。這些結果不一定代表其他基準測試,并且其他基準測試的結果可能顯示防御措施的更大或更小的影響。
性能測試中使用的軟件和工作負載可能僅針對英特爾微處理器性能進行了優化。
諸如SYSmark和MobileMark等性能測試使用具體的計算機系統、組件、軟件、操作和功能進行測量。這些因素的任何變化都可能造成結果不同。您應參考其他信息和性能測試,以幫助您全面評估您的預期采購情況,包括與其他產品結合使用時該產品的性能。 有關性能和基準測試結果的更多信息,請訪問 http://www.intel.com/performance。