英特尔LVI漏洞缓解措施将至强的某些性能降低了77%

2020-07-17 06:05:29
来源:

  【摘要】   领先的Linux出版物Phoronix已经研究了缓解最新的Load Value Injection(LVI)漏洞对英特尔处理器的性能影响。    带有CVE-2020-055

  领先的Linux出版物Phoronix已经研究了缓解最新的Load Value Injection(LVI)漏洞对英特尔处理器的性能影响。

  

  带有CVE-2020-0551标识符的负载值注入允许攻击者通过渗透英特尔的Software Guard Extensions(SGX),从受害者那里窃取敏感信息。SGX本质上是用于存储重要数据的保管库。英特尔和暴露LVI的研究人员都将该漏洞标记为理论威胁,这意味着恶意攻击者不太可能利用此漏洞。无论哪种方式,英特尔都发布了SGX平台软件(PSW)和SDK的更新,以缓解安全漏洞。

  Phoronix指出,英特尔在敏感指令之前已基本添加了LFENCE墙。因此,该出版物评估了处理器在以下五种不同情况下的性能:没有英特尔的缓解措施,在间接分支之前加载LFENCE,在RET指令之前加载,在加载之后加载,以及所有三个选项都串联使用。Phoronix使用Xeon E3-1275 v6(Kaby Lake)处理器在真实情况下广泛测试了缓解措施的影响。该出版物的结果表明,在直接分支之前或在RET指令之前启用LFENCE对性能的影响最小。性能损失小于10%。

  另一方面,在每个加载指令或所有三个汇编程序选项之后实施LFENCE确实会削弱处理器的性能。性能损失增加多达77%。

  幸运的是,对于消费者用户而言,LVI不应成为大问题,因为在主流PC上看到SGX的使用并不常见。从理论上讲,攻击者可以使用JavaScript提取LVI,但是任务非常复杂。相反,由于SGX和虚拟化的频繁使用,企业用户应该更加担心。

  目前,Phoronix认为对于与SGX或高度安全敏感的应用程序进行持续交互的用户而言,缓解措施是必需的。尽管如此,Bitdefender指出LVI可能成为未来攻击的垫脚石,因此企业用户可能最终必须实施这些措施并打击性能。

  根据英特尔受LVI影响的处理器列表,包括Cascade Lake以及Coffee Lake和Comet Lake的某些梯级在内的最新产品仅受到部分影响,而Ice Lake受LVI保护。