pectre幽靈����、Meltdown熔斷兩個安全漏洞大家還沒忘記吧���?由于問題出現在硬件層面���,修復起來也是相當麻煩��,系統����、固件打補丁只能部分解決�,而且容易拖慢性能,尤其是在Intel身上相當尷尬。
由于一直缺乏真正的全新架構,Intel最近幾代產品中多多少少仍然存在幽靈�、熔斷漏洞的部分變種�����,那么最新發布的Comet Lake-S十代桌面級酷睿情況如何呢��?
Intel官方并未對此作出任何說明,AnandTech在深挖后了解到,Comet Lake-S雖然底層架構上仍然是2015年誕生的Skylake那一套��,但安全方面確實有改進���,有兩個變種已經基本解決��。
一個是熔斷漏洞變種V3a,名為“Rogue System Register Read”(系統寄存器惡意讀取),從原來的固件修復改成了MCU(微控制器單元)修復���,說明在硬件設計上進行了改進,無需再更新固件。
另外一個是熔斷漏洞變種V4����,名為“Speculative Store Bypass”(預測存儲旁路)�,修復方式從固件+操作系統升級為硬件+操作系統��,同樣從硬件層加以防御�,但看起來仍需系統補丁的輔助�����。
其他勞動方面�,熔斷V3�、熔斷V5均為硬件防御,幽靈V1還是操作系統+虛擬機��,幽靈V2則是固件+操作系統����。
Windows 10十月更新獲得KB4482887累積更新之后,系統版本號升至Build 17763.348����,除了修復Action Center的BUG之外還引入了非常重要卻未被注意的重要調整����。在安裝該累積更新之后�����,微軟為部分Windows 10十月更新(Version 1809)設備引入了“Retpoline”,并且計劃推廣至更多設備�。
當熔斷(Meltdown)和幽靈(Spectre)漏洞在2018年爆發之后�����,微軟和其他科技巨頭就攜手推進了軟件更新來修復這些嚴重的安全漏洞。雖然這些漏洞得到了修復���,但是會對設備性能產生負面影響,影響范圍在5%至30%之間��。
為了解決性能影響問題�����,2018年1月5日谷歌公開了一種避免 Spectre 攻擊的技巧“Retpoline”���,且對性能的影響可以忽略不計�����。據谷歌團隊表示,這是一種避免分支目標注入的二進制修改技巧�����。利用這種方法任何開發者都可以應用并部署在計算機中��,用以防范 Spectre 攻擊����。
由于微軟的工程師也發現這種方法很有用��,該軟件制造商去年開始將Retpoline集成到Windows中���。微軟最初表示��,Retpoline將與Windows的下一代版本(代號19H1)集成到Windows中,該版本將于2019年4月推出��。但現在微軟計劃為舊版Windows 10系統提供更新���,先是從十月更新開始�����。
在KB4482887的更新日志中�,微軟寫道在某些設備上啟用Retpoline可以提供提高因安裝Spectre variant 2漏洞影響的性能�����。而且微軟將會分階段進行推出���,最終會覆蓋所有Windows 10設備�����。在更新日志中寫道:“在某些設備上為Windows啟用'Retpoline',這可能會提高Specter變體2緩解補丁影響的性能(CVE-2017-5715)”
微軟的Mehmet Iyigun解釋說:“今天�����,我們開始逐步推出針對Spectre變種2緩解的Retpoline性能優化到Windows 10 1809.正如我們之前所分享的那樣���,Windows 10 19H1將默認啟用Retpoline����?����!?/p>
微軟解釋道:“雖然生產情景中的Windows 10客戶端設備上默認禁用Retpoline�����,但我們已經向后移植了支持Retpoline所需的操作系統修改,以便它可以與Windows 10 Version 1809一起使用,并在2019年3月1日的更新中進行修改��?!?/p>
