2018年年初, Intel突然投下一顆震撼彈, CPU被確認包含嚴重的安全漏洞. 由Intel開始各家CPU廠商均被捲入, 甚至連NVIDIA都宣布更新顯卡驅動來修補相關漏洞.
由於這次的漏洞事件波及甚廣, 且具有很強的攻擊能力, 所以從軟體到作業系統, 甚至CPU韌體都必須更新.
現在修補措施大致到了初步完善的程度, 所以針對現有的修補措施對漏洞門帶來的影響做一次較為詳細的測試.
Intel 漏洞門簡述:
首先簡單介紹一下這次的漏洞門事件.
- 漏洞的分類 : 這次的漏洞門產生了Meltdown (熔斷) 和Spectre (幽靈) 兩個主要的漏洞分支.
- 影響的廠商 : Intel (1995年起幾乎全線的產品) , AMD, ARM的CPU大都不同程度地受到波及, NVIDIA也宣稱顯卡需要更新驅動.
- 漏洞的危害 : 漏洞門會導致專門設計的病毒軟體可以直接讀取設備記憶體中的任何部分, 所有的系統內核保護和安全軟體的沙盒都會直接失效.
- 漏洞的修補 : 漏洞的修補主要分為四個部分, 瀏覽器內核更新, 系統補丁安裝, CPU微碼升級 (刷BIOS) , 顯卡驅動更新 (NV)
- 漏洞修補的分級 : 瀏覽器和系統補丁等軟體更新主要針對 '熔斷' ; CPU微碼和顯卡驅動主要針對 '幽靈' .
- 修補的後果 : 修補後會明顯降低CPU的性能, 按照CPU的迭代, 越是古老的產品受到的影響越明顯. CPU的日常使用功耗會明顯上升.
- 修複效果的確認 : GRC上發布的軟體 'inspectre' 可以幫助大家快速診斷漏洞修複的程度, 顯示綠色的 'NO' 即代表對相應的漏洞可以免疫.
各家廠商受到的影響及應對建議 (針對PC市場) :
首先說一下軟體的修補進度, 目前瀏覽器和作業系統均提供了針對性的更新, 下文中就不再反覆提及.
Intel:
- 波及程度 : Intel是波及程度最深的 (因為是亂序執行最堅定的擁躉) , '熔斷' 和 '幽靈' 均中招.
- 修補方式 : 需要針對瀏覽器內核更新, 系統補丁安裝, CPU微碼升級 (刷BIOS) 進行全部更新.
- BIOS進度 : 目前115X主流級別, 從第六代及以上會有BIOS更新; X系列, 從X99平台及以上會有BIOS更新. 需要注意各家主板廠商的BIOS修複進度並不相同, 甚至會出現BIOS中部分微碼更新並不到位的情況.
- 性能變化:
同時做軟體和BIOS修複的情況下, 對性能的影響是最大的. 目前針對Intel部分我這邊的測試數據比較齊全, 所以就詳細分解一下. 需要備註的是無論是什麼修複方式, 磁碟性能都會明顯受到影響, 這邊主要討論的是實際使用的性能變化.
第八代酷睿: 八代酷睿通過超頻L2較好的抵消了性能損失, 總體變化相對較小.
第六, 七代: 在只進行軟體修複的情況下, 性能損失並不明顯. 緩存的補償較少, 所以軟硬體同時修補的情況下, 多核性能有較為明顯的性能損失.
第四, 五代: 目前並沒有BIOS放出, 只針對軟體更新的話, 目前已知以5820K為例, 滿載轉碼的性能損失在8%左右. 預計第四, 五代產品的影響會大於 第六, 七代的產品.
更早產品: 由於緩存機制上第四代起有較大的更新, 所以預計單純軟體修補也會帶來較為顯著的性能損失. (微軟官方的說法用戶可以明顯感知到的性能損失)
- 功耗變化:
進行修複之後CPU的負載會比以前更高, 相應功耗會增大. 尤其是在辦公, 看片, 上網等場景變化尤其明顯. 第八代酷睿主要是依靠超頻L2來抵消修複的性能損失, 所以在低負載場景下, 功耗最高會提升30%.
- 修複建議:
由於本次漏洞門中JS代碼比較容易受到攻擊, 預計瀏覽器會是主要的受攻擊媒介. 所以無論什麼情況下, 都必須更新瀏覽器, 國產瀏覽器用戶建議用回相 應內核的官方瀏覽器 (國產瀏覽器內核更新肯定很渣) .
建議第六代及更新的CPU用戶應更新微軟的系統補丁, 這樣對性能損失並不會太顯著. BIOS建議不要更新.
第四, 五代的CPU用戶, 更新補丁預計滿載性能下降較大, 但安全起見還是建議更新. BIOS現在暫時沒有上, 想更新也更新不了.
更早產品的用戶, 預計CPU性能影響更大, 是不是更新系統補丁我表示很蛋疼. 但是無論如何, 瀏覽器都必須使用最新版內核, 不然會死的很慘.
- 注意事項:
目前Intel的CPU微碼被認定會導致電腦出現死機重啟的狀況, DELL, HP, 華擎都已經宣布下架相關的BIOS. 如果BIOS更新後出現相關狀況, 建議嘗試回滾BIOS版本.
即使是拿到了CPU微碼, 還是不建議大家自行修改BIOS進行更新, 可能會產生額外的BUG.
由於部分廠商對Intel微碼做了回滾撤回處理, 所以不排除後續Intel更新微碼後, 性能再次出現變化的可能性.
目前Intel又讓微軟再次發布了屏蔽Intel BIOS漏洞修複補丁的補丁 (真TM繞) , 相比系統補丁方式屏蔽, 個人還是更加建議大家直接回滾BIOS.
AMD:
- 波及程度 : AMD '熔斷' 是確認免疫的, 但是 '幽靈' 還是會中招.
- 修補方式 : 需要針對瀏覽器內核更新, 系統補丁安裝, CPU微碼升級 (刷BIOS) 進行全部更新.
- BIOS進度 : 目前AMD已經宣布提供微碼給主板廠商, 但暫時還沒有看到具體的BIOS更新.
- 性能變化 : 由於BIOS暫未發布, 所以實際的性能影響未知. 但從各方的消息來看, 影響程度應小於Intel.
- 功耗變化 : 暫不確定.
- 修複建議 : 目前的話只要針對瀏覽器和作業系統進行更新即可, 主板BIOS還需要等待.
- 注意事項 : 微軟第一版的系統補丁對AMD較早的CPU產品 (速龍, 皓龍等) 支援會有問題, 導致微軟收回第一版補丁. 目前只要是微軟自動更新的補丁都可以正常使用, 建議下載離線包的話要注意確認補丁代號.
NVIDIA:
- 波及程度 : '熔斷' 是確認免疫的, 但是 '幽靈' 還是會中招.
- 修補方式 : 更新顯卡驅動即可.
- BIOS進度 : 不存在的.
- 性能變化 : 根據初步的粗略測試, 性能影響不大.
- 功耗變化 : 暫不確定.
- 修複建議 : 目前的話只要針對瀏覽器和作業系統進行更新即可, 主板BIOS還需要等待.
- 注意事項 : 暫無.