查看完整版本 : 修補CPU漏洞攻擊會拖慢效能,Google:我們的修補不會

ncream 2018-1-15 09:36 AM

修補CPU漏洞攻擊會拖慢效能,Google:我們的修補不會

[size=6][color=#0000ff]修補CPU漏洞攻擊會拖慢效能,Google:我們的修補不會[/color][/size]

Google透露他們在去年9月就開始修補漏洞造成的安全風險,並以調校效能降低修補造成的效能損失,使修補對Google Cloud幾乎不會造成效能減損,並將祕訣透過開源分享。




[attach]7793063[/attach]

上周由[url=https://www.ithome.com.tw/news/120312]Google Project Zero揭露[/url]CPU 3項漏洞讓所有電腦產業及客戶陷入一場忙亂。最令人為難的是,漏洞修補完成後會影響電腦及伺服器的效能。不過[url=https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/]Google指出[/url]該公司卻能在不影響Google Cloud客戶系統效能下完成漏洞修補。Google也公佈了其中祕訣所在。


引起這次安全漏洞風暴的是CPU「推測執行」的設計瑕疵,衍生3項漏洞,其中CVE-2017-5753和CVE-2017-5715為Spectre,而CVE-2017-5754為Meltdown(分別稱為變種1、2、3)。Google 在去年6月即已通知英特爾、AMD及ARM等CPU廠商。


Google Cloud Platform副總裁Ben Treynor Sloss指出,早在去年的9月就開始修補Google Cloud及Gmail、Google Drive和搜尋等服務的變種1、3漏洞。他表示,透過不斷的效能調校,對Google雲端沒有任何明顯效能影響。


但變種2就較棘手,因為一開始唯有關閉CPU裏主要提升效能的功能一途,嚴重衝擊效能。Google表示,不但多項應用效能大幅降低,使用同一CPU核心的應用還會彼此影響而發生效能不一致的情形。最後Google技術基礎架構團隊成員發展出名為Retpoline,這是一種創新的軟體二進位修改(software binary modification)技術,避免了分支目標注入(branch-target injection)。利用這個方法可不必關閉CPU的推測執行和其他功能,又確保不會被攻擊者利用。


Google利用Retpoline的修補方法,從compile-time解決第2變種漏洞問題,不需修改源碼。之後,配合軟體層的最佳化作法像是軟體分支預測進行測試,顯示這種作法幾乎不會造成效能損失。


隨後Google將這個方法部署到Google Cloud基礎架構,還分享給合作夥伴,並[url=https://support.google.com/faqs/answer/7625886]將Retpoline開源出來[/url]。而在12月,所有3個變種的防護都在Google Cloud Platform完成部署,而在整個升級期間也沒有人知道,因為沒有一家客戶發出支援工單。
他指出這批漏洞可能是十年來最困難、最不好修復的漏洞,需要軟體堆疊中許多層的修改,以及廣泛的產業合作。也因為修補漏洞的影響面之廣及複雜性之高,促使Google Project Zero少數提早在90天寛限期滿之前公佈。


[color=#ff0000]分析:即係有方法可以修補到BUG而不影響效能。那 M$太差了,Microsoft 明確指出 security patch 會明顯拖慢server效能。由於google已將其方法open source. 但M$仍然無學到,這間公司..............算吧啦。[/color]

[size=6][color=#ff0000]LINK: [url]https://www.ithome.com.tw/news/120498[/url][/color][/size]

[[i] 本帖最後由 ncream 於 2018-1-15 10:46 AM 編輯 [/i]]

jasonchan35 2018-1-15 09:49 AM

Google Cloud 應該可以控制到咩 program 可以行, 所以可以確保所有 program 都係 build from source code
MS 既 fix 未必可以咁做

sswroom 2018-1-15 09:56 AM

[quote]原帖由 [i]ncream[/i] 於 2018-1-15 09:36 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=473809412&ptid=27183308][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
修補CPU漏洞攻擊會拖慢效能,Google:我們的修補不會

Google透露他們在去年9月就開始修補漏洞造成的安全風險,並以調校效能降低修補造成的效能損失,使修補對Google Cloud幾乎不會造成效能減損,並將祕訣透過開源 ... [/quote]Google所講的方法只適用於非Native的程式, Native的程式在現時的Workflow下很難解決問題, Microsoft的方法是可以解決Native程式的問題, 但最少要Reboot一次(因為Windows Update的限制和Update BIOS等)

煙民母親生賤種 2018-1-15 10:50 PM

[quote]原帖由 [i]sswroom[/i] 於 2018-1-15 09:56 AM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=473810387&ptid=27183308][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]
Google所講的方法只適用於非Native的程式, Native的程式在現時的Workflow下很難解決問題, Microsoft的方法是可以解決Native程式的問題, 但最少要Reboot一次(因為Windows Update的限制和Update BIOS等) [/quote]

無架喇呢單野。而家等人告CPU廠,然後一換一(i3換i7)。一係派百佳Q旁,每人十張,去SETTLE。

ghostkcleung 2018-1-16 11:37 PM

唔知 Kernel 會唔會有人修正,
如果 Kernel 做到,MS 無理由做唔到。
頁: [1]
查看完整版本: 修補CPU漏洞攻擊會拖慢效能,Google:我們的修補不會