禁用超線程才能完全緩解 ZombieLoad但性能下降高達(dá) 40%

-3-禁用超線程才能完全緩解ZombieLoad，但性能下降高達(dá)40%攻擊者可以訪問存儲(chǔ)緩沖區(qū)，加載端口并填充緩沖區(qū)的陳舊內(nèi)容，這些緩沖區(qū)可能包含屬于另一個(gè)進(jìn)程的數(shù)據(jù)或源自不同平安上下文的數(shù)據(jù)。因此，在用戶空間進(jìn)程之間、內(nèi)核與用戶空間之間、虛擬機(jī)之間或虛擬機(jī)與主機(jī)環(huán)境之間可能都會(huì)發(fā)生意外的內(nèi)存泄露。上周Intel曝出影響2022年以來幾乎全部芯片的漏洞ZombieLoad，利用該漏洞，攻擊者可以對(duì)芯片發(fā)起邊信道攻擊，在同一CPU上執(zhí)行惡意進(jìn)程，進(jìn)而獵取CPU的微架構(gòu)緩沖器中的存儲(chǔ)器內(nèi)容。

攻擊者可以訪問存儲(chǔ)緩沖區(qū)，加載端口并填充緩沖區(qū)的陳舊內(nèi)容，這些緩沖區(qū)可能包含屬于另一個(gè)進(jìn)程的數(shù)據(jù)或源自不同平安上下文的數(shù)據(jù)。因此，在用戶空間進(jìn)程之間、內(nèi)核與用戶空間之間、虛擬機(jī)之間或虛擬機(jī)與主機(jī)環(huán)境之間可能都會(huì)發(fā)生意外的內(nèi)存泄露。

ZombieLoad與其它推想性執(zhí)行邊信道攻擊不同，由于攻擊者無法定位特定數(shù)據(jù)。攻擊者可以定期對(duì)緩沖區(qū)中的內(nèi)容進(jìn)行采樣，但是在采集樣本時(shí)無法掌握緩沖區(qū)中存在的數(shù)據(jù)。因此，需要額外的工作來將數(shù)據(jù)收集并重建為有意義的數(shù)據(jù)集。這也是ZombieLoad比較簡(jiǎn)單的地方。

雖然ZombieLoad得到有價(jià)值數(shù)據(jù)的成本比較高，但是各大公司都非常重視這個(gè)漏洞，究竟它影響了2022年以來幾乎全部芯片，打擊范圍非常廣泛。

Intel自己已經(jīng)發(fā)布了微代碼，從架構(gòu)上緩解該問題，其它科技公司如蘋果、微軟與谷歌也都相繼發(fā)布了補(bǔ)丁。

但同時(shí)也有一些公司認(rèn)為光有補(bǔ)丁并沒有什么作用，比如RedHat認(rèn)為在云場(chǎng)景上ZombieLoad危急很大，由于你完全無法掌握相鄰虛擬機(jī)中的用戶正在運(yùn)行的內(nèi)容，云平安公司Twistlock的首席技術(shù)官JohnMorello也指出："這個(gè)漏洞可能對(duì)密集的、多租戶的公有云供應(yīng)商產(chǎn)生最大的影響。'

另一邊，Ubuntu目前也已經(jīng)給出了補(bǔ)丁，但是其在平安公告中表示，假如用戶系統(tǒng)中有不受信任或潛在的惡意代碼，則建議其禁用超線程功能。

假如您的處理器不支持超線程（也稱為對(duì)稱多線程（SMT）），則內(nèi)核和相應(yīng)的Intel微代碼軟件包更新將完全解決MDS（ZombieLoad）漏洞。假如您的處理器支持超線程并且啟用了超線程，則MDS不會(huì)完全緩解。

所以，假如想要完全緩解漏洞，你需要臨時(shí)放棄CPU的超線程力量。事實(shí)上，蘋果和谷歌都已經(jīng)警告macOS和ChromeOS用戶禁用超線程可獲得全面愛護(hù)，并且谷歌現(xiàn)在默認(rèn)從ChromeOS74開頭禁用超線程。

但是禁用超線程的性能代價(jià)實(shí)在有點(diǎn)高，結(jié)合對(duì)比一下ZombieLoad微代碼與補(bǔ)丁對(duì)系統(tǒng)性能影響的數(shù)據(jù)：

Intel發(fā)言人表示，大部分打過補(bǔ)丁的設(shè)備在最壞的狀況下可能會(huì)受到3%的性能影響，而在數(shù)據(jù)中心環(huán)境中可能會(huì)是9%。

另一邊，PostgreSQL基準(zhǔn)測(cè)試發(fā)覺，禁用超線程后，性能下降了近40％；Ngnix基準(zhǔn)測(cè)試的性能下降了約34％；