2018年年初, Intel突然投下一颗震撼弹, CPU被确认包含严重的安全漏洞. 由Intel开始各家CPU厂商均被卷入, 甚至连NVIDIA都宣布更新显卡驱动来修补相关漏洞.
由于这次的漏洞事件波及甚广, 且具有很强的攻击能力, 所以从软件到操作系统, 甚至CPU固件都必须更新.
现在修补措施大致到了初步完善的程度, 所以针对现有的修补措施对漏洞门带来的影响做一次较为详细的测试.
Intel 漏洞门简述:
首先简单介绍一下这次的漏洞门事件.
- 漏洞的分类 : 这次的漏洞门产生了Meltdown (熔断) 和Spectre (幽灵) 两个主要的漏洞分支.
- 影响的厂商 : Intel (1995年起几乎全线的产品) , AMD, ARM的CPU大都不同程度地受到波及, NVIDIA也宣称显卡需要更新驱动.
- 漏洞的危害 : 漏洞门会导致专门设计的病毒软件可以直接读取设备内存中的任何部分, 所有的系统内核保护和安全软件的沙盒都会直接失效.
- 漏洞的修补 : 漏洞的修补主要分为四个部分, 浏览器内核更新, 系统补丁安装, CPU微码升级 (刷BIOS) , 显卡驱动更新 (NV)
- 漏洞修补的分级 : 浏览器和系统补丁等软件更新主要针对 '熔断' ; CPU微码和显卡驱动主要针对 '幽灵' .
- 修补的后果 : 修补后会明显降低CPU的性能, 按照CPU的迭代, 越是古老的产品受到的影响越明显. CPU的日常使用功耗会明显上升.
- 修复效果的确认 : GRC上发布的软件 'inspectre' 可以帮助大家快速诊断漏洞修复的程度, 显示绿色的 'NO' 即代表对相应的漏洞可以免疫.
各家厂商受到的影响及应对建议 (针对PC市场) :
首先说一下软件的修补进度, 目前浏览器和操作系统均提供了针对性的更新, 下文中就不再反复提及.
Intel:
- 波及程度 : Intel是波及程度最深的 (因为是乱序执行最坚定的拥趸) , '熔断' 和 '幽灵' 均中招.
- 修补方式 : 需要针对浏览器内核更新, 系统补丁安装, CPU微码升级 (刷BIOS) 进行全部更新.
- BIOS进度 : 目前115X主流级别, 从第六代及以上会有BIOS更新; X系列, 从X99平台及以上会有BIOS更新. 需要注意各家主板厂商的BIOS修复进度并不相同, 甚至会出现BIOS中部分微码更新并不到位的情况.
- 性能变化:
同时做软件和BIOS修复的情况下, 对性能的影响是最大的. 目前针对Intel部分我这边的测试数据比较齐全, 所以就详细分解一下. 需要备注的是无论是什么修复方式, 磁盘性能都会明显受到影响, 这边主要讨论的是实际使用的性能变化.
第八代酷睿: 八代酷睿通过超频L2较好的抵消了性能损失, 总体变化相对较小.
第六, 七代: 在只进行软件修复的情况下, 性能损失并不明显. 缓存的补偿较少, 所以软硬件同时修补的情况下, 多核性能有较为明显的性能损失.
第四, 五代: 目前并没有BIOS放出, 只针对软件更新的话, 目前已知以5820K为例, 满载转码的性能损失在8%左右. 预计第四, 五代产品的影响会大于 第六, 七代的产品.
更早产品: 由于缓存机制上第四代起有较大的更新, 所以预计单纯软件修补也会带来较为显著的性能损失. (微软官方的说法用户可以明显感知到的性能损失)
- 功耗变化:
进行修复之后CPU的负载会比以前更高, 相应功耗会增大. 尤其是在办公, 看片, 上网等场景变化尤其明显. 第八代酷睿主要是依靠超频L2来抵消修复的性能损失, 所以在低负载场景下, 功耗最高会提升30%.
- 修复建议:
由于本次漏洞门中JS代码比较容易受到攻击, 预计浏览器会是主要的受攻击媒介. 所以无论什么情况下, 都必须更新浏览器, 国产浏览器用户建议用回相 应内核的官方浏览器 (国产浏览器内核更新肯定很渣) .
建议第六代及更新的CPU用户应更新微软的系统补丁, 这样对性能损失并不会太显著. BIOS建议不要更新.
第四, 五代的CPU用户, 更新补丁预计满载性能下降较大, 但安全起见还是建议更新. BIOS现在暂时没有上, 想更新也更新不了.
更早产品的用户, 预计CPU性能影响更大, 是不是更新系统补丁我表示很蛋疼. 但是无论如何, 浏览器都必须使用最新版内核, 不然会死的很惨.
- 注意事项:
目前Intel的CPU微码被认定会导致电脑出现死机重启的状况, DELL, HP, 华擎都已经宣布下架相关的BIOS. 如果BIOS更新后出现相关状况, 建议尝试回滚BIOS版本.
即使是拿到了CPU微码, 还是不建议大家自行修改BIOS进行更新, 可能会产生额外的BUG.
由于部分厂商对Intel微码做了回滚撤回处理, 所以不排除后续Intel更新微码后, 性能再次出现变化的可能性.
目前Intel又让微软再次发布了屏蔽Intel BIOS漏洞修复补丁的补丁 (真TM绕) , 相比系统补丁方式屏蔽, 个人还是更加建议大家直接回滚BIOS.
AMD:
- 波及程度 : AMD '熔断' 是确认免疫的, 但是 '幽灵' 还是会中招.
- 修补方式 : 需要针对浏览器内核更新, 系统补丁安装, CPU微码升级 (刷BIOS) 进行全部更新.
- BIOS进度 : 目前AMD已经宣布提供微码给主板厂商, 但暂时还没有看到具体的BIOS更新.
- 性能变化 : 由于BIOS暂未发布, 所以实际的性能影响未知. 但从各方的消息来看, 影响程度应小于Intel.
- 功耗变化 : 暂不确定.
- 修复建议 : 目前的话只要针对浏览器和操作系统进行更新即可, 主板BIOS还需要等待.
- 注意事项 : 微软第一版的系统补丁对AMD较早的CPU产品 (速龙, 皓龙等) 支持会有问题, 导致微软收回第一版补丁. 目前只要是微软自动更新的补丁都可以正常使用, 建议下载离线包的话要注意确认补丁代号.
NVIDIA:
- 波及程度 : '熔断' 是确认免疫的, 但是 '幽灵' 还是会中招.
- 修补方式 : 更新显卡驱动即可.
- BIOS进度 : 不存在的.
- 性能变化 : 根据初步的粗略测试, 性能影响不大.
- 功耗变化 : 暂不确定.
- 修复建议 : 目前的话只要针对浏览器和操作系统进行更新即可, 主板BIOS还需要等待.
- 注意事项 : 暂无.