抵御安全威胁,全程为客户保驾护航

关于 L1TF 安全漏洞的细节和防御措施

 

作者:Leslie Culbertson,英特尔公司执行副总裁兼产品保障与安全部门总经理

 

英特尔产品保障与安全部门(IPAS)专注于网络安全,并一直付诸努力,为我们的客户保驾护航。最近的举措包括我们的安全漏洞赏金计划的扩大,与安全研究领域合作的加强,持续开展的内部安全测试,以及对我们的产品进行的安全测试与检查。我们之所以高度重视,是因为我们知道恶意攻击者会不断发起更加复杂的安全攻击。这需要全行业共同防御、并肩作战,以获得解决方案。

 

今天,英特尔和我们的行业合作伙伴们发布了被命名为 L1 终端故障(L1 Terminal Fault,简称为 L1TF)的详细情况和防御措施。L1TF 是一种最近发现的推测执行侧信道分析的安全漏洞,会影响一部分支持英特尔® 软件保护扩展(英特尔® SGX)的微处理器产品。鲁汶大学*、以色列理工学院*、密歇根大学*、阿德莱德大学* 和 Data61*的研究人员首次向我们报告了这个问题。我们的安全团队经进一步研究,发现 L1TF 的另外两种相关应用还存在影响其它微处理器、操作系统和虚拟化软件的可能。

 

更多信息请参阅: 安全漏洞和英特尔产品(新闻资料) | 安全研究微站(Intel.com)

 

首先,我来回答关于防御措施的问题。我们今年早些时候发布的微代码更新(MCUs)是针对 L1TF 所有三种应用的防御策略的重要组成部分。除了这些微代码更新,我们的行业合作伙伴和开源社区从今天开始也发布了针对操作系统和管理程序软件的相应更新。这些安全更新将为消费者、IT 专业人员和云服务提供商提供其所需要的保护。

 

此外,我们在硬件层面作出的改变也会抵御 L1TF。我们在今年 3 月份宣布,这些硬件层次的改变,将率先应用在我们的下一代至强® 可扩展处理器(研发代号为 Cascade Lake)以及预计今年晚些时候推出的全新个人电脑处理器。

 

我们目前还没有收到这些漏洞被实际攻击利用的报告,但这进一步突出了全行业均遵循最佳安全实践的必要性。这些实践包括:即时更新电脑系统、采取措施以防止恶意软件等。有关上述实践的更多信息,可参考国土安全部网站(英文)。

 

关于 L1TF

 

L1TF 的三种应用都是与预测执行侧信道缓存计时相关的漏洞。在这方面,它们与之前报告的变体类似。它们的目标是访问一级数据高速缓存——这是每个处理器内核中的一小块内存,用来存储关于“处理器内核下一步最有可能做什么”的信息。

 

我们今年早些时候发布的微代码更新,为系统软件提供了一种清除该共享缓存的方法。鉴于其复杂性,我们制作了一个短视频来帮助解释 L1TF。

 

 

在系统更新后,我们预计那些运行非虚拟化操作系统的消费者和企业用户(包括大多数的数据中心和个人电脑)所面临的安全风险会降低。基于我们在测试系统上运行的性能基准测试,我们尚未看到上述防御措施对性能产生任何显著的影响。

 

针对另外一部分市场 —— 特别是运行传统虚拟技术的细分领域(主要在数据中心领域),我们建议客户或合作伙伴采取额外措施来保护其系统。这主要是为了在 IT 管理员或云服务商无法保证所有虚拟化操作系统都已安装必要更新时,应对并防护该种情况下可能出现的风险。这些措施可以包括启用特定管理程序内核调度功能,或在某些特定场景中选择不使用超线程功能。这些额外措施可能只适用于相对较小的应用领域,但对我们来说,为所有客户均提供解决方案至关重要。

 

对于这些特定情况,某些特定负载上的性能或资源利用率可能会受到影响,并相应发生变化。我们与行业合作伙伴正在研究多种解决方案来应对这一影响,以便客户可以根据自己的需求选择最佳方案。为此,我们已经开发了一种方法,以在系统运行期间即时检测基于 L1TF 漏洞的攻击,并仅在必要时才启用防御措施。我们已经为一些合作伙伴提供了具有这项功能的预览版微代码,以供他们进行评估试用,并希望在今后逐步推广这一功能。

 

欲了解更多关于 L1TF 的信息——包括面向 IT 专业人员的详细指导,请查看安全中心的建议。我们还在我们“誓保安全第一”网站提供一份白皮书和最新常见问答。

 

我要再次感谢我们的行业合作伙伴和最先报告这些问题的研究人员,感谢他们的全力配合,以及对协同披露做出的共同承诺。英特尔致力于为我们的产品提供安全保障,并将继续提供定期更新,以及时披露我们发现的安全问题以及相应的防御措施。

 

我们一如既往的呼吁,所有人都应该及时更新系统以便充分利用最新的安全防护措施。

 

 

1Raoul StrackxJo Van BulckMarina MinkinOfir WeisseDaniel GenkinBaris KasikciFrank PiessensMark SilbersteinThomas F. WenischYuval Yarom

注:英文原文链接 https://newsroom.intel.com/editorials/protecting-our-customers-through-lifecycle-security-threats/

 

 

英特尔和英特尔标识是英特尔公司在美国和/或其他国家的商标。

*其他的名称和品牌可能是其他所有者的资产。

关于英特尔

英特尔(NASDAQ: INTC)是全球半导体行业的引领者,以计算和通信技术奠定全球创新基石,塑造以数据为中心的未来。我们通过精尖制造的专长,帮助保护、驱动和连接数十亿设备以及智能互联世界的基础设施 —— 从云、网络到边缘设备以及它们之间的一切,并帮助解决世界上最艰巨的问题和挑战。如需了解更多信息,请访问英特尔中国新闻中心 newsroom.intel.cn 以及官方网站 intel.cn

英特尔和英特尔标识是英特尔公司在美国和其他国家(地区)的商标。
*文中涉及的其它名称及品牌属于各自所有者资产。