微軟和穀歌又發現一個CPU漏洞，修複之後性能又會下降

微軟和穀歌共同發現了一個新的CPU安全漏洞，該漏洞和今年早些時候發現的Meltdown與Spectre漏洞類似。漏洞名為 Speculative Store Bypass (變種4)，現在像Safari、Edge、和Chrome 這樣的瀏覽器都已經在今年早些時候安裝了應對Meltdown 的補丁，英特爾表示「這些補丁對變種4也有用。」

請輸入圖片描述

但是，不同於Meltdown (或者說和Spectre更像)這個新漏洞也需要會影響性能的CPU固件升級。英特爾方麵已經向OEM分發針對Speculative Store Bypass的微代碼升級補丁，預計在下周分發的範圍會更廣。該固件將會讓 Speculative Store Bypass 保護處於默認關閉的狀態，保證大部分用戶都不會察覺性能下降的影響。

「如果保護啟動，我們將會發現性能下降約2%-8%，這個數據是基於benchmarks軟件的跑分。」英特爾安全官 Leslie Culbertson解釋道。

結果，終端用戶(尤其是係統管理員們)將不得不在安全和最佳性能之間做一個選擇。就像此前Spectre的變體們那樣，這一次的選擇也將來到個人電腦和服務器用戶的麵前，而且這次的變體危險性似乎比今年早些時候發現的CPU漏洞更低。

三月份，微軟花$250,000懸賞與 Meltdown和Spectre CPU漏洞類似的bug，而且還說，此次的bug去年11月就發現了。「微軟在2017年的11月發現這個變體並告知了業內夥伴，這是漏洞發現協作計劃( Coordinated Vulnerability Disclosure )的一部分。」微軟的發言人說。微軟現在正與英特爾、AMD一同測定這次的性能影響到底有多大。

「我們正繼續同受影響的芯片廠商合作，並且已經向我們所有的產品和服務放出了安全補丁，」微軟的發言人說。「我們還沒發現這次漏洞對Windows係統或我們的雲服務產生影響的案例。我們會盡快向我們的用戶提供深度補丁，我們針對低危問題的政策是通過我們的周二補丁日提供安全補丁。」

英特爾方麵已經準備好未來改進CPU。英特爾已經重新設計處理器以抵禦像Spectre還有現在變種4這樣的漏洞，而且下一代的至強處理器(Cascade Lake)和今年下半年發布的第八代處理器將會內置硬件保護機製。

本文譯自 theverge，由譯者 Dkphhh 基於創作共用協議(BY-NC)發布。