有关安全研究和英特尔® 产品的事实

上次更新时间:2018 年 8 月 16 日上午 11:00(太平洋夏令时)

概述

变种 4 和变种 3a 是谷歌 Project Zero (GPZ) 之前于 1 月份所披露侧信道方法的衍生变种。 客户和 IT 专业人士有多种保护系统的方式,包括已部署的基于浏览器的缓解措施。我们不断敦促所有客户使系统保持最新状态,因为这是最好的持续保护方式之一。

英特尔致力于保护客户及其数据,并且我们也致力于协同披露。 我们与许多其他技术公司,包括 AMD、Arm Holdings 及多家操作系统和虚拟机监控程序供应商密切合作,以开发用于缓解这些问题的全行业解决方案。

下面是关于变种 4 和 3a 及 GPZ 之前于 1 月份所披露变种的最新事实、新闻和更新。 此外,还包括为帮助保护您的系统和信息所采取步骤的更多信息。

请参阅《英特尔推测执行侧信道分析 (英文) 》和《推测执行侧信道缓解 (英文) 》白皮书,了解更深入的信息。

保护您的计算机系统

客户和 IT 专业人士有多种方式保护自己的系统免受侧信道分析方法的侵扰。 变种 4 的缓解工作始于 1 月份,当时大多数主要浏览器供应商在其管理的运行时间中为变种 1 部署了缓解措施,大大增加了在 Web 浏览器中利用侧信道的难度。 这些缓解措施也适用于变种 4,并且目前仍可供客户使用。 但是,为确保我们可提供完全缓解的方案,并防止以其它方式使用此方法,我们和我们的行业合作伙伴正在为变种 4 提供结合了微代码和软件更新的额外缓解措施。 变种 4 缓解措施对于性能的影响会因工作负载、平台配置和部署的缓解技术而有所不同。

变种 3a 可以使用与变种 4 相同的处理器微代码更新进行缓解,并且英特尔已经以测试版形式向 OEM 系统制造商和系统软件供应商发布了这些更新。 这些更新已做好生产发行准备,并且将会在接下来的几周内交付消费者和 IT 专业人士。根据初步观察,我们预计变种 3a 缓解措施对系统性能没有实质影响。

协同披露

协同披露被广泛认为是负责任地保护客户免受安全问题侵害的最佳方式。 协同披露基于两个基本概念:(1)当公司意识到安全问题时,他们尽可能合作起来去快速、有效地缓解这些问题;(2)公司同步采取措施,尽量减少可能被利用的信息曾经由泄漏或其它方式被恶意利用的风险。  
  
卡耐基梅隆软件工程学院的计算机应急响应小组(CERT)对这些原则的表述可能最为恰当:  
  
“公众,尤其是易受攻击产品的用户,应该被告知有关这些产品的问题以及供应商如何处理这些问题。 与此同时,在没有审查和缓解的情况下披露这些信息,只会引发公众的盗用行为。 当所有人协同一致、相互配合去保护公众时,理想的场景才会发生。”  

有关协同披露及其重要性的更多信息,请参阅《协同安全问题披露指南 (英文) 》。 有关英特尔产品安全的更多信息,请参见此处的企业责任网站。

2018 年 4 月 10 日:践行“誓保安全第一”的承诺,英特尔成立新的产品保障与安全部门 (IPAS)

2018 年 3 月 15 日:英特尔 CEO 科再奇:从芯片层面增强安全

2018 年 2 月 22 日:英特尔关于安全问题的最新更新: 发布针对第六代、第七代和第八代英特尔酷睿处理器、英特尔至强可扩展处理器及更多其它平台的固件更新

2018 年 2 月 15 日:英特尔扩展漏洞报告赏金计划:针对侧信道的新计划提高赏金额度

2018 年 2 月 08 日:英特尔关于安全问题的更新:固件更新继续取得进展

2018 年 1 月 23 日:重启问题的根本原因已找到 为客户和合作伙伴更新指南

2018 年 1 月 18 日:英特尔关于安全问题的更新: 固件更新进展和针对数据中心系统性能测试的初步结果

2018 年 1 月 12 日:英特尔关于安全问题的更新:应对系统重启问题

2018 年 1 月 12 日:誓保安全第一

2018 年 1 月 11 日:英特尔关于安全问题的更新: 针对客户端系统性能测试的初步结果

2018 年 1 月 10 日:英特尔提供关于安全问题的更新

2018 年 1 月 8 日:英特尔公司 CEO 科再奇在 2018 年国际消费电子展(CES)主题演讲中关于应对安全研究发现的发言

2018 年 1 月 4 日:英特尔发布更新,保护系统免受潜在攻击

2018 年 1 月 4 日:行业测试显示,近日公布的安全更新在实际部署中并不会影响性能

2018 年 1 月 3 日:英特尔关于安全研究结果的回应

分析方法的工作原理

计算机系统的物理操作可以从不同的视角观察(例如时间、功耗、甚至声音),侧信道是其中之一。 这些因素的统计分析在某些情况下有可能被用于从被操纵的计算设备中收集敏感数据。 这些侧信道分析方法不会损坏、修改或删除数据。

大多数现代 CPU 能够预测它们需要为特定进程执行什么代码,并提前运行,以便在需要这些结果之前准备好这些结果。 这可以大大提升 CPU 的整体性能和效率,从而提升电脑或移动设备的速度和性能。 CPU 有时候会把数据从一个内存位置转移到其它位置,供这些进程使用。 虽然系统按照设计精确地运行,在某些特定情况下,这些数据也可能会被此类攻击所观察到。

阅读誓保安全第一。这是英特尔公司首席执行官 Brian Krzanich 向技术行业的领袖们发表的公开信。

关于安全问题的有用资源

系统制造商、操作系统供应商以及此处未列出的其它厂商可能已经发布了相关的信息。 请与您的系统制造商或操作系统供应商联系,获取更新或通报信息。 这个列表并不全面。

来自系统制造商的信息

系统制造商、操作系统供应商以及此处未列出的其它厂商可能已经发布了相关的信息。 请与您的系统制造商或操作系统供应商联系,获取更新或通报信息。 这个列表并不全面。

英特尔用户支持

如需帮助,请联系您的操作系统或系统制造商(如上所示),或英特尔用户支持。

提交英特尔用户支持订单

点击提交网页订单

中国大陆联系电话 (800) 820 1100 (免费)

点击查询亚太地区联系电话

欧洲、中东、非洲地区的联系电话

点击查询联系电话

拉丁美洲地区的联系电话

点击查询联系电话

北美地区联系电话 (916) 377-7000

常见问题

这些攻击,当被用于恶意目的时,有可能不当地收集敏感数据。 英特尔认为,这些攻击不会损坏、修改或删除数据。 请与您的操作系统供应商或系统制造商联系,并尽快采纳可用的更新。 英特尔强烈建议日常遵循抵御恶意软件的安全操作, 也有助于防御利用这些分析方法的可能攻击。

英特尔目前尚未获悉任何基于这些隐患的恶意软件。 然而,终端用户和系统管理员应当尽快采纳任何可用的更新,并日常遵循抵御恶意软件的安全操作

否。这不是英特尔® 产品中的一个安全问题或缺陷。 这些新的攻击利用了有关现代计算平台中常见的处理技术正常操作的数据,即使系统按照设计精确地运行也可能会危害安全性。 根据迄今的分析,许多类型的计算设备(采用来自许多不同供应商的处理器和操作系统)都会容易受到类似攻击。

许多调制解调器微处理器架构(包括但不限于英特尔的架构)都会受到影响。 

简单地说,侧信道表示计算机系统物理操作的可观测视角,例如时间、功耗,甚至声音。 英特尔致力于快速解决此类问题,并通过安全通报和安全通知而提供建议。 有关英特尔® 产品的最新安全信息可以在上面找到。

否。任何利用这种侧信道分析方法的恶意软件必须在机器上本地运行。 日常遵循抵御恶意软件的安全操作,也有助于在应用更新之前防止这一问题可能造成的破坏。

变种 3a 于 2018 年 1 月首次被公开记录。 英特尔和其他公司于 2018 年 2 月发现变种 4。 我们与其他公司合作对结果进行了验证,为受影响的技术开发和验证了固件及操作系统更新,并尽快将其广泛应用。 英特尔以及几乎整个技术行业都遵循称为《协同披露》的披露惯例,根据这一惯例,网络安全问题通常会在部署缓解措施之后被披露。 (请参阅《协同安全问题披露 CERT® 指南》 (英文)。)

从 1 月份开始,大多数领先的浏览器供应商都部署了缓解变种 1 威胁的更新。这些缓解措施也适用于变种 4,目前仍可供客户使用。 为补充这些现有缓解措施,英特尔和其他公司已开始提供软件和固件更新,以便在必要时提供附加保护。  更多详信息详见我们在此处 (英文)提供的白皮书。最终用户和系统管理员应咨询操作系统供应商和系统制造商,并尽快应用任何可用的更新。

  • 终端用户和系统管理员应当与操作系统供应商或系统制造商联系,并尽快采纳可用的更新。 日常遵循抵御恶意软件的安全操作,也有助于在应用更新之前防止这一问题可能造成的破坏。 某些措施包括:
  • 保持对计算环境的控制力
  • 定期检查并采纳可用的固件/驱动程序更新
  • 使用硬件和软件防火墙
  • 关闭不使用的服务
  • 保持恰当的用户权限
  • 更新安全软件
  • 避免点击未知的链接
  • 避免在多个网站上使用相同的密码

有关好的安全做法,更多信息请见:

我们目前掌握了初步数据,但是在缓解变种 3a 时,我们没有观察到对客户端或服务器基准性能的任何影响。 我们预计变种 4 不会导致现有基于浏览器的生产有任何更改,也不会进一步影响系统性能。 在初步分析中,我们观察到在使用更新的微代码和随附的系统软件更改来缓解变种 4 的威胁时,会对某些基准性能和非常具体的配置产生影响。 有关其使用注意事项的更多信息,请参阅我们的白皮书 (英文)

对这种情况最有效的解决方案可能各有不同,并且可能包括固件或软件更新。 而且,从 1 月份开始,大多数领先的浏览器供应商部署了缓解变种 1 威胁的更新。这些缓解措施也适用于变种 4,目前仍可供客户使用。

请联系您的设备制造商或操作系统供应商,并尽快采纳可用的更新。 如果没有更新可用或无法安装,日常遵循抵御恶意软件的安全操作,也有助于防止可能的攻击。

受影响的英特尔® 平台

有关您的系统的更多信息,请咨询您的系统供应商或设备制造商。