“幽灵”芯片安全漏洞再现 发布补丁在即

第一波Spectre（幽灵）和Meltdown（熔断）攻击被击退后，大家松了一口气。但却是个错误。

Spectre-Meltdown的CPU漏洞展示了攻击系统的全新方式，安全专家心里很清楚，新攻击方法的出现只是迟早的事。

果不其然，有人又发现了新的攻击方法。

第一波Spectre漏洞被修补后不久，谷歌零项目（Google Project Zero）安全研究员Jann Horn又发现了新的漏洞。 Horn发现了攻击微处理器的新方法，新方法是在未知道所有内存的写入地址前使用类似Spectre的推测性执行和推测性内存读取执行。新方法可以用代码实现，本地用户利用这些代码即可从侧通道（Side-channel）分析里得到系统数据。

新漏洞远不止是英特尔的问题，还会影响到x86（Intel和AMD芯片组）、POWER 8、POWER 9、System z和一些ARM处理器。简言之，新漏洞令有心人未经授权就差不多可以从任何现代处理器上读取内存里的内容。

该安全问题的CVE（通用漏洞披露）编号为CVE-2018-3639（https://www.us-cert.gov/ncas/alerts/TA18-141A）。

英特尔则将其称之为Speculative Store Bypass（SSB）（https://www.intel.com/content/www/us/en/security-center/advisory/intel- sa-00115.html），又名Spectre变种4。新的SSB漏洞与英特尔高级威胁团队前负责人Yuriy Bulygin发现的漏洞不同，Bulygin发现的Spectre CPU漏洞可用于非法进入英特尔x86系统的系统管理模式（SMM）。

另外一个新的但不太危险的Spectre式安全漏洞是CVE-2018-3640（https://www.us-cert.gov/ncas/alerts/TA18-141A），又名恶劣系统寄存器读取（RSRE），或Spectre变种3a。RSRE可影响到配有微处理器的系统，方法是利用推测性执行进行系统寄存器推测性读取。

本地用户利用RSRE就可能通过侧通道分析在未经授权的情况下获取系统参数。

但据英特尔说，外部攻击是通过网络浏览器处理恶意负载，所以不太可能出现这些问题。英特尔表示，这是因为“大多数大的浏览器提供商最近在他们的管理运行库（Managed Runtimes）里部署了缓解措施，这些缓解措施大大增加了在现代网络浏览器中利用侧通道的难度，这些技术同样也可以增加在基于SSB的浏览器里利用侧通道的难度。”

为了解决RSRE问题，英特尔已经向操作系统供应商、设备制造商和其他生态系统合作伙伴发布了测试微码更新，以增加对推测性存储绕道禁用（SSBD）的支持。 SSBD阻止推测性存储绕道的发生，可提供额外的保护。英特尔希望大多数主要操作系统和虚拟机管理程序可在2018年5月21日开始增加对推出性存储绕道禁用（SSBD）的支持。

该微码更新还解决了非法系统寄存器读取（RSRR）的问题。更新程序的做法是确保RDMSR指令在特定条件下不会推测性地返回数据。对该修补程序的支持无需更改操作系统或管理程序。

AMD (https://www.amd.com/en/corporate/security-updates)和ARM (https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability)也在处理这些问题。微软目前则表示，“我们还没有在我们的软件或云服务基础架构里发现任何可利用的代码模式（https://portal.msrc.microsoft.com/en-US/security- guidance/advisory/ADV180012），但我们仍在继续这方面的工作。“

而红帽则表示，该漏洞影响到Linux系统。红帽建议，“为了充分减少漏洞风险，系统管理员必须进行硬件”微码“更新和打软件补丁（https://access.redhat.com/security/vulnerabilities/ssbd），硬件”微码“更新和软件补丁可实现新的功能。微处理器微码将由各个制造商交付，但红帽未来在收到微码后将发布经过测试和签名的更新。“

其他操作系统供应商很快将发布补丁程序。

到底有多糟糕呢？红帽认为很严重。笔者觉得似乎是对的。要真正利用漏洞本地用户得费一番功夫，但完全是可以做到的。

要记住的一点是，所谓的“本地”用户不一定是登录到服务器的用户。比如说，容器上的“本地”用户是谁呢？

红帽表示，“每个Linux容器都包含一个Linux基本层。这些容器要在生产环境中使用，所以要确保这些内容没有已知的漏洞，这一点很重要。如果容器包含内核、虚拟化组件或其他组件（列在下面），它们都应该被更新。更新之后，无需进行与容器相关的操作，除非容器依赖或含有一些受到影响的包。下列文件必须更新：kernel、kernel-rt、libvirt、qemu-kvm-rhev、openjdk、microcode_clt和linux_firmware。“

红帽公司产品安全保证经理Chris Robinson表示，“最近大家开始关注现代计算基本元素的漏洞，该漏洞（CVE-2018-3639）是个最新的例子，这些漏洞可影响到各种大量的硬件和软件。虽然只有高技能的攻击者才能有效地利用这些漏洞，但客户应该迅速采取行动，对硬件和软件进行打补丁更新，降低被攻击的风险。“

Robinson说得对。补丁发布后，各位务必部署它们。