2018年1月初,Google Project Zero安全研究人員,披露了兩組CPU特性漏洞Meltdown(CVE-2017-5754)和Spectre(CVE-2017-5715和CVE-2017-5753),全球保安團隊幾乎疲於奔命;包括英特爾、AMD及ARM的CPU,均受到這批漏洞影響。
Meltdown影響英特爾和AMD處理器,Spectre則影響上述兩家,更包括ARM處理器,包括了高通、聯發科、三星等處理器,涉及廠商更多。
Meltdown和Spectre是過去10年間最嚴重的軟件漏洞,由於現時絕大部分的虛擬平台,都是以英特爾CPU運作,故此牽連更加廣泛,不少公共雲及作業系統廠商,上述漏洞公開之前的數個月,已獲悉了漏洞存在,以便馬上開發修補工作,科技業界渡過一次安全危機。Spectre並無全面的修補方法,最大風險是網頁加入JavaScript惡意攻擊,從瀏覽器盗竊了密碼和Cookie內等私人用戶資料,對於私人用戶影響較大。
Meltdown影響了英特爾處理器所支援的全部虛擬平台,Meltdown是最容易利用,也是影響最大,公共雲類似AWS,紛紛先集中解決Meltdown的漏洞。
公共雲史上最大更新
公共雲修補Meltdown漏洞,導致過去數星期,部分大型的公共雲故障,處理器使用率不尋常,效率下降,AWS已更新EC 2支援兩種instance;分別為Paravirtual (PV) 和Hardware Virtual Machine (HVM),EC 2上主流為HVM,PV必須要重新啟動才能更新修補;HVM則可以毋須啟動直接更新。AWS更新系統,導致了處理大量I/O的服務,類似Kafka串流數據的反應異常緩慢,Cassandra數據庫的處理器使用率,亦大幅竄升。
去年12月中,AWS已向PV用戶要求在1月5日前,重新啟動PV的instance,顯示當時AWS內部,已開發好修補Meltdown和Spectre漏洞,並部署於1月3日後啟動修補,服務直至1月11日,服務才完全恢復正常,可見升級規模之大。
國內公共雲方面,阿里雲在1月12日凌晨1時進行底層升級更新,而騰訊雲亦在1月10日凌晨全面升級;英特爾在數月前,已通知國內公共雲有關問題。今次漏洞涉及過去10年間,英特爾絕大部分處理器的不同型號,今次安全漏洞,有機會引發史無前例的技術危機。
個人電腦性能下降
1月初,微軟已發出Windows更新、修補了Azure漏洞。另外,蘋果已針對iOS 11.2、macOS 10.13.2及tvOS 11.2等推出修補。各個作業系統亦先後推出修補,其中Ubuntu作業系統的PC,更導致作業系統不能重新啟動。
雖然說,作業系統推出了堵塞漏洞的修補,另一問題是Meltdown和Spectre更新,導致了系統性能下降。微軟測試結果,2015年出產的PC以第四代Haswell,或之前處理器跑Windows 10,性能下降較明顯,如果Windows 7或8,性能下降又更顯著;但有測試指,以英特爾第六代Skylake-S執行Windows 10性能,可以下降達一成。英特爾指出,PC性能下降視乎執行的工作而定,一般用戶應不會察覺任何變化。
Windows伺服器亦受到相當程度的影響,尤其是處理I/O極高應用,性能下降更加明顯。微軟甚至提醒,Windows伺服器加入Meltdown和Spectre之前,應先衡量更新的必要性,和性能下降之間作出取捨。
但英特爾表示,雲運算性能,則不受任何影響,可見雲作業系統在修補漏洞方面比較全面。
雲運算與英特爾定期同步安全信息,從Meltdown和Spectre發現以至修補的過程,公共雲廠商獲悉和修補漏洞弱點,竟然沒有泄露半點風聲。不少雲運算的專家稱,Meltdown和Spectre為史無前例技術危機,可見現代的技術漏洞和攻擊,複雜程度已遠超想像,如果運算能力是分散在無數企業內,今次下載、升級、更新的過程,相信會造成更大混亂。為數不少系統,已於公共雲上運作,結果造成的混亂規模遠比想像為少,也算是不幸中之大幸。