该媒体称,亚马逊、微软和谷歌是三个受影响最深的云计算厂商,如果漏洞被利用,那么在同一物理空间的虚拟用户 A 可以任意访问到另一个虚拟用户 B 的数据,包括受保护的密码、应用程序密匙等。 安全人员强调这是一个 x86-64 处理器的设计缺陷,已经存在了逾十年。不过,AMD 不受影响。 目前,Linux 和 Windows 已经在着手修复,因为 Intel 无法通过微代码更新弥补,需要操作系统厂商一同修缮,除非直接换用不存在缺陷的新处理器。 与此同时,该 bug 另外一个非常棘手的问题在于,修复后会削弱系统 30~35% 的性能。 Linux 内核更新日志显示其已经砸进行调整,开发人员发现了新加入的"内核页表隔离",就是为了阻绝跨虚拟账户访问。 而 Windows 这边,从去年 11 月也开始了内核级的调整。 消息一出,网上顿时炸开了锅,网友立刻对此展开激励的讨论: 某知乎用户分析道: 此漏洞会导致低权限应用访问到任意内存区域,包括内核内存 此漏洞是硬件设计导致的,无法使用 microcode 修复,只能进行 OS 级的修复 OS 级的修复会导致严重的性能问题,将会导致 5%-30% 的性能下降 目前 phoronix 已对此进行了测试,IO 性能几乎下降了 50%,编译性能下降了接近 30%,postgresql 和 redis 也有差不多 20% 的性能下跌,详细地址:https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2 AMD 不受此漏洞影响。 另有知乎网友冯博群、楼宇根据已有资料总结出了目前 bug 的修复进展等一系列信息: 英特尔的芯片级设计漏洞导致 Linux 和 Windows 内核的关键部分必须重新设计 关于修复进展 开源程序员们已经因此修改了 Linux 的虚拟内存系统,但是代码注释被缩减,以隐藏漏洞的详细信息 Windows 预计在本周四发布相关补丁,且补丁已经在去年十一月、十二月的 Windows Insider 版本中发布给了测试用户 macOS 也需要进行升级 关于修复方法 芯片微码更新不足以修复漏洞,必须修改系统或者购买新设计的 CPU 目前 Linux 解决漏洞的方案是重新设计页表(KPTI 技术,前身为 KAISER)。之前普通程序和内核程序共用页表,靠 CPU 来阻止普通程序的越权访问。补丁的方案是让内核使用另外一个页表,而普通程序的页表中只保留一些必要的内核信息(例如调用内核的地址)。这个方案会导致每次普通程序和内核程序之间的切换(例如系统内核调用或者硬件中断)都需要切换页表,引起 CPU 的 TLB 缓存刷新。TLB 缓存刷新相对正常指令来说是非常耗时的,因此会降低系统的效率。 KAISER 技术对系统性能的影响一般是 5%,最高可达 30%。一些高级的芯片功能(例如 PCID)可以支持其他的修补方式,从而减少性能影响。Linux 已经在 4.14 版本的开发过程中添加了对 PCID 的支持。 在 Linux 系统中,KPTI 只有在英特尔芯片上才会启用,因此 AMD 芯片不受影响,且用户可以通过手动修改开关的方式关闭 KPTI 关于漏洞影响 根据 AMD 在 Linux 内核邮件列表里发送的邮件,AMD 芯片没有发现这样的漏洞 漏洞导致普通程序可以获得受保护的内核页表信息,进而导致一些内核保护机制(例如 KASLR,即内核地址空间布局随机化)可能被攻破 微软 Azure 云服务将在 1 月 10 日进行维护并重启,人们推测可能是为了修复这个漏洞 Amazon Web Services 通过邮件警告客户,本周五会有一次重要的安全更新 其他信息 还是根据 AMD 的那封邮件,人们推测出现问题的根源是"推测执行"(Speculative execution)机制。这个机制让 CPU 可以预测即将执行的代码,从而加快运行速度。人们猜测,可能芯片在完成权限检查之前,就会因为这个机制而执行本来不该执行的代码。 也有人推测这个漏洞就是去年年末传言的虚拟机器监视器(hypervisor )的重大 bug KPTI 的前身 KAISER 本来是用来防止 time-based attack 的,但是因为性能损失较高而一直没有并入主流 Linux 版本中 Linux 内核中阻止 KPTI 在 AMD 芯片上自动启用的代码是 AMD 自己提交的 部分信息来源: https://link.zhihu.com/?target=https%3A//lwn.net/Articles/738975/ Intel 发布一款芯片,集成 AMD Radeon RX Vega 图形处理器 在这当口,近日 Intel 又在网站上发布了一款集成了 AMD Radeon RX Vega 图形处理器的芯片。 这款四核八线程处理器属于 Intel Core i7-8809G 系列,结合了 AMD 的 Radeon RX Vega M GH,集成 Intel HD 630 显卡和成套图形加速功能。 据外媒 Anandtech 报道,该处理器的其他规格包括 3.1GHz 的基本速度,8MB 的 L3 缓存,支持 DDR4-2400 RAM,目标散热设计功率为 100W,明显比 Intel Coffee Lake 架构芯片性能更高。 说到这一点,该芯片使用被称为 Kaby-G 的 Kaby Lake 架构第七代版本。 Intel 之前曾经表示将开发使用 AMD 图形技术的芯片,但除了官方声明之外没有透露其他信息。 相关的消息已被删除,表明 Intel 并没有透露这款芯片信息的计划。在一周后的 CES 展上,我们可以听到更多消息。 鉴于 Intel 和 AMD 在中央处理器领域竞争激烈,特别是目前 Intel 的 Ryzen 芯片助力 Intel 重夺处理器领域霸权,在这个时间点两家公司的合作让人有些意外。 有人预计 Intel 将与 Nvidia 合作,因为两者在 CPU 领域不形成直接竞争。 但是,AMD 在图形技术和 CPU 结合方面有很好的经验,特别是笔记本电脑和桌面级系统级芯片——加速处理单元(APU)。 酷睿 i7-8809G 与其他台式电脑芯片列在一起,所以看起来 Intel 已经将这个芯片的市场定位为传统和定制电脑中的嵌入式主板。 截至此文完成时,这个芯片组并没有任何移动或笔记本电脑的形式,我们希望 Intel 会做出改变,因为 Intel 的 CPU 和 AMD 的 GPU 组合起来,可能会会让轻便小巧的游戏和工作电脑功能变得十分强大。 但是,这一切都还暂时是猜测,但不久之后可见分晓。当然,我们也希望 Nvidia 能对 Intel 和 AMD 的"珠联璧合"有所反应,做出行动。