Intel CPU致命漏洞闖禍: Win10/Azure/亞馬遜雲齊維護

為了解決以Intel處理器為代表的致命漏洞麻煩，很多廠商都不得不做出重大修補。

微軟方麵，Windows 10今天連下四道補丁，分別是KB4056892、KB4056891、KB4056890和KB4056888，分別麵向秋季創意者更新（Version 1709）、創意者更新用戶(Version 1703)、年度更新(Version 1607)、秋季更新(Version 1511)，升級後版本號迭代為Build 16299.192、15063.850、14393.2007和10586.1356。

雖說這些屬於累積更新，但在修複BUG提升性能的同時，最重要的一點就是NT內核級的調整，用來封堵Meltown和Spectre兩個漏洞。

微軟還承諾，麵向Win7/8.1用戶的補丁會在下周二補丁日發布，至於Windows 10 Insider會員，去年11月內核調整時就已經修複完畢。

與此同時，由於BUG會影響包括Amazon EC2、Microsoft Azure和Google Compute Engine在內的大牌雲計算環境，微軟的Azure雲（運行大量Linux和Windows）將在1月10日進行維護和重啟，大概會部署上述修複程序。

亞馬遜AWS通過電子郵件警告客戶，預計本周五將有重大安全更新登陸，而不會涉及細節。

今天中午，騰訊雲也宣布1月10日淩晨01:00-05:00通過熱升級技術對硬件平台和虛擬化平台進行後端修複。

Linux CN表示，因為Intel無法通過微代碼更新填坑，Linux/Windows麵臨重新設計，雲服務廠商受損最猛。

專家指出，現代處理器，如Intel，執行推測性執行。為了保持內部管道的指令符合要求，CPU內核會盡力猜測接下來要運行的代碼，取出並執行它。

AMD處理器不受內核頁表隔離功能所抵禦的攻擊類型的限製，AMD微架構不允許內存引用（包括推測引用）在訪問將導致頁麵錯誤時以較低特權模式訪問較高特權的數據。

Intel的CPU可能在沒有執行安全檢查的情況下推測性地執行代碼。似乎有可能以處理器開始執行通常被阻塞的指令（例如從用戶模式讀取內核存儲器）開始執行軟件，並且在特權級別檢查發生之前完成該指令。

這將允許ring-3級用戶代碼讀取ring-0級內核數據。

這一問題和前不久Intel的ME漏洞突然契合了起來。

目前，Intel陣容中，僅IA-64架構的安騰和極少數老Atom不受影響。

至於ARM，在Linux修正內核中已經包含了為arm64準備的的等效“內核頁表隔離kernel page-table isolation” （KPTI）補丁集。