8 月 16 日早間，雷鋒網曾報道，英特爾芯片發現新漏洞“預兆（Foreshadow）”，這是 2018 年初英特爾芯片被曝“熔斷”和“幽靈”漏洞之后的第三個重要漏洞。

　　據稱，這個漏洞可能讓攻擊者竊取存儲在計算機或第三方云上的信息，漏洞由一些研究人員發現并于1月向英特爾報告，該漏洞包括為 L1TF 或 L1 Terminal Fault 三個品種。隨后，研究人員又發現了兩個被叫做“Foreshadow-NG”的類似變體，會攻擊代碼、操作系統、管理程序軟件以及其它微處理器。

　　8 月 16 日，英特爾方面給雷鋒網發來了關于此漏洞的詳細說明。

　　在英特爾的說明中，這一漏洞不叫“預兆”，而被命名為 “L1 終端故障（L1 Terminal Fault，簡稱為 L1TF）”。

　　L1TF 是一種最近發現的推測執行側信道分析的安全漏洞，會影響一部分支持英特爾軟件保護擴展的微處理器產品。與英國金融時報報道的“該漏洞由兩個研究團隊發現”不一樣的是，英特爾稱，“魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學和 Data61 的研究人員首次向我們報告了這個問題”，經英特爾安全團隊進一步研究，他們發現 L1TF 的另外兩種相關應用還存在影響其它微處理器、操作系統和虛擬化軟件的可能。

　　這份說明還指出，L1TF 的三種應用都是與預測執行側信道緩存計時相關的漏洞。在這方面，它們與之前報告的變體類似。它們的目標是訪問一級數據高速緩存——這是每個處理器內核中的一小塊內存，用來存儲關于“處理器內核下一步最有可能做什么”的信息。今年早些時候，英特爾發布了微代碼更新（MCUs），該更新是針對 L1TF 所有三種應用的防御策略的重要組成部分，為系統軟件提供了一種清除該共享緩存的方法。除了這些微代碼更新，英特爾還發布了針對操作系統和管理程序軟件的相應更新。

　　此外，英特爾稱，在硬件層面作出的改變也會抵御 L1TF，這些硬件層次的改變將首先應用在下一代至強可擴展處理器（研發代號為Cascade Lake）以及預計今年晚些時候推出的全新個人電腦處理器上。

　　目前，英特爾方面還沒有收到這些漏洞被實際攻擊利用的報告。

　　附英特爾關于該漏洞的防御措施及修復建議：

　　在系統更新后，我們預計那些運行非虛擬化操作系統的消費者和企業用戶（包括大多數的數據中心和個人電腦）所面臨的安全風險會降低?；谖覀冊跍y試系統上運行的性能基準測試，我們尚未看到上述防御措施對性能產生任何顯著的影響。

　　針對另外一部分市場 —— 特別是運行傳統虛擬技術的細分領域（主要在數據中心領域），我們建議客戶或合作伙伴采取額外措施來保護其系統。這主要是為了在IT管理員或云服務商無法保證所有虛擬化操作系統都已安裝必要更新時，應對并防護該種情況下可能出現的風險。這些措施可以包括啟用特定管理程序內核調度功能，或在某些特定場景中選擇不使用超線程功能。這些額外措施可能只適用于相對較小的應用領域，但對我們來說，為所有客戶均提供解決方案至關重要。

　　對于這些特定情況，某些特定負載上的性能或資源利用率可能會受到影響，并相應發生變化。我們與行業合作伙伴正在研究多種解決方案來應對這一影響，以便客戶可以根據自己的需求選擇最佳方案。為此，我們已經開發了一種方法，以在系統運行期間即時檢測基于L1TF漏洞的攻擊，并僅在必要時才啟用防御措施。我們已經為一些合作伙伴提供了具有這項功能的預覽版微代碼，以供他們進行評估試用，并希望在今后逐步推廣這一功能。

責任編輯：韓希宇