当前位置:首页 > 公众号精选 > Techsugar
[导读]被提前曝光的“幽灵(Spectre)”与“熔断Meltdown)”风险让全球IT核心企业狼狈不堪。谷歌零项目组(Google Project Zero)在发现这两个漏洞之后,于2017年6月1日向英特尔、AMD等公司通报漏洞详情。据AI财经社《黑洞危机222天》称,由于波及范围过大,包括处理器厂商、操作系统厂商及云服务商在内的核心企业签署保密协议,以确保在漏洞被公布之前(预定2018年1月9日公布)找到解决方法。

被提前曝光的“幽灵(Spectre)”与“熔断Meltdown)”风险让全球IT核心企业狼狈不堪。谷歌零项目组(Google Project Zero)在发现这两个漏洞之后,于2017年6月1日向英特尔、AMD等公司通报漏洞详情。据AI财经社《黑洞危机222天》称,由于波及范围过大,包括处理器厂商、操作系统厂商及云服务商在内的核心企业签署保密协议,以确保在漏洞被公布之前(预定2018年1月9日公布)找到解决方法。

但科技网站The Register从Linux工作组邮件中发现蛛丝马迹,于北京时间2018年1月3日,将该漏洞曝光,导致各方不得不改变计划,提前行动。但实际上,漏洞被曝光距离零项目组公布漏洞日期只有一周。所以提前曝光造成的风险并不大,各厂商该准备好的应该已经准备好,没有准备好的,反而可能由于被曝光而加快进度。

目前的解决方案,多少都会造成系统性能下降。

微软执行副总裁 Terry Myerson在其最新官网博客中称,针对处理器漏洞的最新补丁,PC芯片与操作系统越旧,性能下降比例越大,用Windows8或7配2015年及以前的CPU,大部分用户都会察觉到明显性能下降;而用2016年及以后的英特尔处理器与Windows 10系统,性能下降则较为轻微;在服务器应用中,任何I/O频繁的应用,都会受到较大影响。

Redhat测试表示,为防止漏洞而释放的最新Linux内核版本对服务器应用性能影响在1%到19%之间。

据《华尔街日报》报道,在Broadwell与Haswell系列处理器上,补丁导致部分用户系统重启。实际上,微软对该系列漏洞的补丁也导致部分旧款AMD处理器系统有重启或蓝屏问题,微软已经暂停使用部分更新程序。

谷歌在一篇博客中称,幽灵2(变种2)对谷歌云服务团队造成的困难更多。熔断风险看起来更危险,但由于处理得早,从2017年10月份开始在服务器上调试补丁程序,“花了大量时间改进性能”,现在的方案已经对性能没有明显影响。

对付幽灵风险,最可靠的办法是关闭分支预测,但这将导致系统性能大幅下降,并有衍生影响。“不仅很多应用速度显著变慢,而且我们也发现性能不一致现象,因为某个应用可以被同一个内核上运行的其他应用影响。”

但最终,谷歌找到了一种软件解决方案,零项目组称之为“Retpoline”。不需要关闭分支预测或其他硬件功能,Retpoline采用软件二进制修改技术(software binary modification technique),可以预防分支目标入侵(branch-target-injection)。该方法由谷歌技术基础架构组工程师Paul Turner发明。

不断有新厂商宣布受到幽灵与熔断影响,并推出相应解决方案。据不完全统计,受幽灵影响的英特尔、苹果与AMD处理器共有一千两百款以上,受熔断影响的英特尔与苹果处理器共有近千款。

Arm公布目前受这两种攻击方式影响的内核共十款,除了苹果,高通、Nvidia、海思、联发科、赛灵思与Altera等知名IC设计公司无一幸免,这些公司均有用受影响内核设计的处理器,应用范围不仅局限与手机与平板电脑等消费与通信市场,包括汽车、工业应用处理器存在被攻击风险- -当然,恩智浦i.MX系列与瑞萨R-Car系列多数可能不会联网,所以风险不大。

以下为相关列表:

英特尔、苹果与AMD受影响处理器数量统计


Arm受影响内核统计


Arm内核应用处理器不完整统计

数据来源:wiki



Spectre 1(变种1)

AMD EPYC 系列处理器

AMD Ryzen Threadripper系列处理器

AMD Ryzen系列处理器

AMD FX 8000系列处理器

AMD 9000 系列APU

Apple A4, A5, A5X, A6, A6X, A7, A8, A8X, A9, A9X, A10 Fusion, A10X Fusion 与 A11 Bionic SoC

ARM Cortex-A75, Cortex-A73, Cortex-A72, Cortex-A57, Cortex-A17, Cortex-A15, Cortex-A9, Cortex-A8, Cortex-R8,  Cortex-R7 内核

第1至第8代Intel Core 处理器

Intel Core X系列处理器

Intel Xeon 3400, 3600, 5500, 5600, 6500 , 7500 系列处理器

Intel Xeon E3, E3 v2, E3 v4, E3 v5 , E3 v6 系列处理器

Intel Xeon E5, E5 v2, E5 v3 , E5 v4 系列处理器

Intel Xeon E7, E7 v2, E7 v3 , E5 v4 系列处理器

Intel Xeon Phi 3200, 5200, 7200 系列处理器

Intel Xeon W 处理器

Intel Pentium G 处理器

Intel Atom C, E, A, Z, x3 系列处理器

Intel Pentium N 与 J 系列处理器

Intel Celeron G, N 与 J 系列处理器


Spectre 2(变种2)

AMD EPYC 系列处理器

AMD Ryzen Threadripper系列处理器

AMD Ryzen系列处理器

Apple A4, A5, A5X, A6, A6X, A7, A8, A8X, A9, A9X, A10 Fusion, A10X Fusion 与 A11 Bionic SoC

ARM Cortex-A75, Cortex-A73, Cortex-A72, Cortex-A57, Cortex-A17, Cortex-A15, Cortex-A9, Cortex-A8, Cortex-R8,  Cortex-R7 内核

第1至第8代Intel Core 处理器

Intel Core X系列处理器

Intel Xeon 3400, 3600, 5500, 5600, 6500 , 7500 系列处理器

Intel Xeon E3, E3 v2, E3 v4, E3 v5 , E3 v6 系列处理器

Intel Xeon E5, E5 v2, E5 v3 , E5 v4 系列处理器

Intel Xeon E7, E7 v2, E7 v3 , E5 v4 系列处理器

Intel Xeon Phi 3200, 5200, 7200 系列处理器

Intel Xeon W 处理器

Intel Pentium G 处理器

Intel Atom C, E, A, Z, x3 系列处理器

Intel Pentium N 与 J 系列处理器

Intel Celeron G, N 与 J 系列处理器


Meltdown(变种3)


Apple A4, A5, A5X, A6, A6X, A7, A8, A8X, A9, A9X, A10 Fusion, A10X Fusion 与 A11 Bionic SoC

ARM Cortex-A75 内核

第1至第8代Intel Core 处理器

Intel Core X系列处理器

Intel Xeon 3400, 3600, 5500, 5600, 6500 , 7500 系列处理器

Intel Xeon E3, E3 v2, E3 v4, E3 v5 , E3 v6 系列处理器

Intel Xeon E5, E5 v2, E5 v3 , E5 v4 系列处理器

Intel Xeon E7, E7 v2, E7 v3 , E5 v4 系列处理器

Intel Xeon Phi 3200, 5200, 7200 系列处理器

Intel Xeon W 处理器

Intel Pentium G 处理器

Intel Atom C, E, A, Z, x3 系列处理器

Intel Pentium N 与 J 系列处理器

Intel Celeron G, N 与 J 系列处理器


往期回顾

处理器安全幽灵究竟会熔毁多少价值?

苹果、高通、IBM均承认处理器有被攻击风险

英特尔处理器被爆存严重漏洞,AMD或被波及

全都中招,各方详解史上最大安全漏洞

也说英特尔猜测执行的漏洞

详解Intel漏洞怎么拿到内核数据的

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

近日,关于中国籍Google工程师在美被捕的消息,引发了社会各界的广泛关注,而这一事件也迅速成为了美国各大媒体竞相报道的头条热点。

关键字: 谷歌 AI 人工智能

2月22日消息,今天凌晨,谷歌宣布推出全球性能最强大、轻量级的开源模型系列——Gemma。

关键字: 谷歌 Gemma

据报道,谷歌母公司Alphabet和微软日前都宣布,在欧洲人工智能(AI)领域投入巨资,抢在欧盟出台新的AI法规之前,重塑他们的AI基础设施。

关键字: 微软 谷歌 AI

业内消息,谷歌内部研发了一款名为「Goose」的 AI 大语言模型,用于提高员工编写代码效率,加速产品研发,据悉,Goose 能回答技术问题,编写代码,提供自然语言的代码编辑提示,是谷歌将 AI 融入产品开发的重要一环。

关键字: 谷歌 AI 大语言模型 Goose

业内消息,近日谷歌正式移除了另一个对用户有用的功能网页缓存。搜索引擎之父Danny·Sullivan和谷歌搜索联络(Search Liaison)账号确认网页缓存功能被移除了,搜索页面缓存的 incache: 语法也将被...

关键字: 谷歌 缓存

近日谷歌(Google)母公司Alphabet官方披露了2023年第四季度及全年财报,数据显示2023年谷歌累计裁员逾1.2万人,在遣散费和其他费用上的花费高达21亿美金(当前约合人民币150.8亿)。目前裁员并未停止,...

关键字: 遣散费 谷歌 裁员

在通常的印象中,裁员是为了节省成本。不过在短期内,裁员带来的结果可能却是巨大的成本开支。谷歌在去年和今年的裁员上耗费了数十亿美元,很好地印证了这一情况。

关键字: 谷歌 裁员

业内消息,近日行业研究机构City Index公布了2023年全球十大上市公司排行榜,其中苹果以3.03万亿美元市值位居榜首,台积电以5349.8亿美元市值跻身第十,入榜的还包括谷歌、亚马逊、英伟达、特斯拉以及Meta等...

关键字: 苹果 微软 谷歌 亚马逊 英伟达 特斯拉 Meta 台积电

业内消息,美国科技巨头谷歌近日表示将投资10亿美元在英国伦敦建设数据中心,这是其在英国的最新投资,以满足该地区日益增长的互联网服务需求。

关键字: 谷歌 投资 数据中心

业内消息,近日谷歌解雇了旗下广告销售团队的数百名员工,包括语音助手部门、负责Pixel、Nest和Fitbit的硬件团队以及增强现实团队的几名员工,谷歌希望采用人工智能软件和自动化来减轻工作量,这标志着这家科技巨头今年正...

关键字: 裁员 谷歌 亚马逊 Discord
关闭