英特尔主动披露L1TF安全漏洞 同时公布完整防御措施

全文字数：1458阅读时间：5分钟

今日，英特尔公司执行副总裁兼产品保障与安全部门总经理Leslie Culbertson发文主动披露了一个新的安全漏洞“L1终端故障”(L1 Terminal Fault)，简称L1TF，并同时公布了完整的防御措施。

文｜茅茅

校对｜落日

图源｜网络

集微网消息，昨日英特尔被揭露其部分微处理器中存在三个漏洞，黑客可能会利用此来获取计算机内存中的一些数据。对此，英特尔已第一时间发布声明承认芯片存在安全漏洞，并称目前正与ADM等共同协作，努力修复这一问题。

而今日，英特尔公司执行副总裁兼产品保障与安全部门总经理Leslie Culbertson发文主动披露了一个新的安全漏洞“L1终端故障”(L1 Terminal Fault)，简称L1TF，并同时公布了完整的防御措施。

何为L1TF？

L1TF是一种最近发现的推测执行侧信道分析的安全漏洞，会影响一部分支持Intel SGX软件保护扩展的处理器，包括自第二代酷睿(Sandy Bridge)以来的各类桌面、移动笔记本、服务器和数据中心产品。

该漏洞由鲁汶大学、以色列理工学院、密歇根大学、阿德莱德大学、Data61的研究人员首次发现并向英特尔报告。英特尔的安全团队经进一步研究，发现L1TF的另外两种相关应用还存在影响其它微处理器、操作系统和虚拟化软件的可能。

据悉，L1TF的三种应用都是与预测执行侧信道缓存计时相关的漏洞。在这方面，它们与之前报告的变体类似。它们的目标是访问一级数据高速缓存——这是每个处理器内核中的一小块内存，用来存储关于“处理器内核下一步最有可能做什么”的信息。

防御措施

而关于L1TF的防御措施，Leslie Culbertso表示，早些时候英特尔发布的微代码更新（MCUs）是针对L1TF所有三种应用的防御策略的重要组成部分。除了这些微代码更新，英特尔的行业合作伙伴和开源社区从今天开始也发布了针对操作系统和管理程序软件的相应更新。这些安全更新将为消费者、IT专业人员和云服务提供商提供其所需要的保护。

此外，英特尔在硬件层面作出的改变也会抵御L1TF。英特尔在今年3月份宣布，这些硬件层次的改变，将率先应用在英特尔的下一代至强可扩展处理器（研发代号为Cascade Lake）以及预计今年晚些时候推出的全新个人电脑处理器。

英特尔目前还没有收到这些漏洞被实际攻击利用的报告，但这进一步突出了全行业均遵循最佳安全实践的必要性。这些实践包括：即时更新电脑系统、采取措施以防止恶意软件等。

英特尔已发布微代码更新

一直以来，英特尔产品保障与安全部门（IPAS）专注于网络安全，并一直付诸努力，为客户保驾护航。最近的举措包括安全漏洞赏金计划的扩大，与安全研究领域合作的加强，持续开展的内部安全测试，以及对产品进行的安全测试与检查。

Leslie Culbertso表示，英特尔今年早些时候发布的微代码更新，为系统软件提供了一种清除该共享缓存的方法。

在系统更新后，英特尔预计那些运行非虚拟化操作系统的消费者和企业用户（包括大多数的数据中心和个人电脑）所面临的安全风险会降低。基于英特尔在测试系统上运行的性能基准测试，英特尔尚未看到上述防御措施对性能产生任何显著的影响。

针对另外一部分市场 —— 特别是运行传统虚拟技术的细分领域（主要在数据中心领域），英特尔建议客户或合作伙伴采取额外措施来保护其系统。这主要是为了在IT管理员或云服务商无法保证所有虚拟化操作系统都已安装必要更新时，应对并防护该种情况下可能出现的风险。这些措施可以包括启用特定管理程序内核调度功能，或在某些特定场景中选择不使用超线程功能。

这些额外措施可能只适用于相对较小的应用领域，但对英特尔来说，为所有客户均提供解决方案至关重要。

对于这些特定情况，某些特定负载上的性能或资源利用率可能会受到影响，并相应发生变化。英特尔与行业合作伙伴正在研究多种解决方案来应对这一影响，以便客户可以根据自己的需求选择最佳方案。为此，英特尔已经开发了一种方法，以在系统运行期间即时检测基于L1TF漏洞的攻击，并仅在必要时才启用防御措施。英特尔已经为一些合作伙伴提供了具有这项功能的预览版微代码，以供他们进行评估试用，并希望在今后逐步推广这一功能。

END