- 關于L1TF安全漏洞的細節(jié)和防御措施
近日��,英特爾公司執(zhí)行副總裁兼產(chǎn)品保障與安全部門總經(jīng)理 Leslie Culbertson 撰文“抵御安全威脅���,全程為客戶保駕護航”,解讀關于 L1TF 安全漏洞的細節(jié)和防御措施�,如下是文章全文:
英特爾產(chǎn)品保障與安全部門(IPAS)專注于網(wǎng)絡安全,并一直付諸努力,為我們的客戶保駕護航���。最近的舉措包括我們的安全漏洞賞金計劃的擴大���,與安全研究領域合作的加強,持續(xù)開展的內(nèi)部安全測試�,以及對我們的產(chǎn)品進行的安全測試與檢查。我們之所以高度重視�����,是因為我們知道惡意攻擊者會不斷發(fā)起更加復雜的安全攻擊�����。這需要全行業(yè)共同防御���、并肩作戰(zhàn)����,以獲得解決方案�����。
今天,英特爾和我們的行業(yè)合作伙伴們發(fā)布了被命名為L1終端故障(L1 Terminal Fault��,簡稱為L1TF)的詳細情況和防御措施���。L1TF 是一種最近發(fā)現(xiàn)的推測執(zhí)行側(cè)信道分析的安全漏洞�,會影響一部分支持英特爾®軟件保護擴展(英特爾® SGX)的微處理器產(chǎn)品�����。魯汶大學*����、以色列理工學院*、密歇根大學*���、阿德萊德大學*和Data61*1的研究人員首次向我們報告了這個問題�。我們的安全團隊經(jīng)進一步研究���,發(fā)現(xiàn) L1TF 的另外兩種相關應用還存在影響其它微處理器�、操作系統(tǒng)和虛擬化軟件的可能����。
更多信息請參閱: 安全漏洞和英特爾產(chǎn)品(新聞資料) | 安全研究微站 (Intel.com)
首先,我來回答關于防御措施的問題�����。我們今年早些時候發(fā)布的微代碼更新(MCUs)是針對 L1TF 所有三種應用的防御策略的重要組成部分��。除了這些微代碼更新�����,我們的行業(yè)合作伙伴和開源社區(qū)從今天開始也發(fā)布了針對操作系統(tǒng)和管理程序軟件的相應更新�。這些安全更新將為消費者、IT專業(yè)人員和云服務提供商提供其所需要的保護����。
此外,我們在硬件層面作出的改變也會抵御 L1TF���。我們在今年3月份宣布�����,這些硬件層次的改變�,將率先應用在我們的下一代至強® 可擴展處理器(研發(fā)代號為Cascade Lake)以及預計今年晚些時候推出的全新個人電腦處理器�����。
我們目前還沒有收到這些漏洞被實際攻擊利用的報告,但這進一步突出了全行業(yè)均遵循最佳安全實踐的必要性�����。這些實踐包括:即時更新電腦系統(tǒng)�、采取措施以防止惡意軟件等。有關上述實踐的更多信息�����,可參考國土安全部網(wǎng)站(英文)����。
關于 L1TF
L1TF 的三種應用都是與預測執(zhí)行側(cè)信道緩存計時相關的漏洞。在這方面�,它們與之前報告的變體類似。它們的目標是訪問一級數(shù)據(jù)高速緩存 -- 這是每個處理器內(nèi)核中的一小塊內(nèi)存�,用來存儲關于“處理器內(nèi)核下一步最有可能做什么”的信息。
我們今年早些時候發(fā)布的微代碼更新���,為系統(tǒng)軟件提供了一種清除該共享緩存的方法�。
在系統(tǒng)更新后,我們預計那些運行非虛擬化操作系統(tǒng)的消費者和企業(yè)用戶(包括大多數(shù)的數(shù)據(jù)中心和個人電腦)所面臨的安全風險會降低���;谖覀冊跍y試系統(tǒng)上運行的性能基準測試��,我們尚未看到上述防御措施對性能產(chǎn)生任何顯著的影響�。
針對另外一部分市場 -- 特別是運行傳統(tǒng)虛擬技術的細分領域(主要在數(shù)據(jù)中心領域),我們建議客戶或合作伙伴采取額外措施來保護其系統(tǒng)�。這主要是為了在IT管理員或云服務商無法保證所有虛擬化操作系統(tǒng)都已安裝必要更新時,應對并防護該種情況下可能出現(xiàn)的風險��。這些措施可以包括啟用特定管理程序內(nèi)核調(diào)度功能��,或在某些特定場景中選擇不使用超線程功能����。這些額外措施可能只適用于相對較小的應用領域,但對我們來說��,為所有客戶均提供解決方案至關重要���。
對于這些特定情況��,某些特定負載上的性能或資源利用率可能會受到影響��,并相應發(fā)生變化����。我們與行業(yè)合作伙伴正在研究多種解決方案來應對這一影響,以便客戶可以根據(jù)自己的需求選擇最佳方案��。為此����,我們已經(jīng)開發(fā)了一種方法,以在系統(tǒng)運行期間即時檢測基于 L1TF 漏洞的攻擊���,并僅在必要時才啟用防御措施��。我們已經(jīng)為一些合作伙伴提供了具有這項功能的預覽版微代碼���,以供他們進行評估試用,并希望在今后逐步推廣這一功能��。
欲了解更多關于 L1TF 的信息 -- 包括面向IT專業(yè)人員的詳細指導�����,請查看安全中心的建議�����。我們還在我們“誓保安全第一”網(wǎng)站提供一份白皮書和最新常見問答。
我要再次感謝我們的行業(yè)合作伙伴和最先報告這些問題的研究人員�����,感謝他們的全力配合��,以及對協(xié)同披露做出的共同承諾���。英特爾致力于為我們的產(chǎn)品提供安全保障,并將繼續(xù)提供定期更新�����,以及時披露我們發(fā)現(xiàn)的安全問題以及相應的防御措施����。
我們一如既往的呼吁,所有人都應該及時更新系統(tǒng)以便充分利用最新的安全防護措施��。
|
1Raoul Strackx����、Jo Van Bulck、Marina Minkin、Ofir Weisse���、Daniel Genkin��、Baris Kasikci����、Frank Piessens�、Mark Silberstein、Thomas F. Wenisch和Yuval Yarom
|
注:英文原文鏈接
更多新聞,請關注
粵公網(wǎng)安備 44010602001889號