微软和谷歌又发现一个CPU漏洞，修复之后性能又会下降

微软和谷歌共同发现了一个新的CPU安全漏洞，该漏洞和今年早些时候发现的Meltdown与Spectre漏洞类似。漏洞名为 Speculative Store Bypass (变种4)，现在像Safari、Edge、和Chrome 这样的浏览器都已经在今年早些时候安装了应对Meltdown 的补丁，英特尔表示「这些补丁对变种4也有用。」

请输入图片描述

但是，不同于Meltdown (或者说和Spectre更像)这个新漏洞也需要会影响性能的CPU固件升级。英特尔方面已经向OEM分发针对Speculative Store Bypass的微代码升级补丁，预计在下周分发的范围会更广。该固件将会让 Speculative Store Bypass 保护处于默认关闭的状态，保证大部分用户都不会察觉性能下降的影响。

「如果保护启动，我们将会发现性能下降约2%-8%，这个数据是基于benchmarks软件的跑分。」英特尔安全官 Leslie Culbertson解释道。

结果，终端用户(尤其是系统管理员们)将不得不在安全和最佳性能之间做一个选择。就像此前Spectre的变体们那样，这一次的选择也将来到个人电脑和服务器用户的面前，而且这次的变体危险性似乎比今年早些时候发现的CPU漏洞更低。

三月份，微软花$250,000悬赏与 Meltdown和Spectre CPU漏洞类似的bug，而且还说，此次的bug去年11月就发现了。「微软在2017年的11月发现这个变体并告知了业内伙伴，这是漏洞发现协作计划( Coordinated Vulnerability Disclosure )的一部分。」微软的发言人说。微软现在正与英特尔、AMD一同测定这次的性能影响到底有多大。

「我们正继续同受影响的芯片厂商合作，并且已经向我们所有的产品和服务放出了安全补丁，」微软的发言人说。「我们还没发现这次漏洞对Windows系统或我们的云服务产生影响的案例。我们会尽快向我们的用户提供深度补丁，我们针对低危问题的政策是通过我们的周二补丁日提供安全补丁。」

英特尔方面已经准备好未来改进CPU。英特尔已经重新设计处理器以抵御像Spectre还有现在变种4这样的漏洞，而且下一代的至强处理器(Cascade Lake)和今年下半年发布的第八代处理器将会内置硬件保护机制。

本文译自 theverge，由译者 Dkphhh 基于创作共用协议(BY-NC)发布。