新的Intel CPU安全漏洞：Lazy State

导语
“Meltdown”（熔断）和“Spectre”（幽灵）漏洞尚未走远，新的Intel CPU漏洞又开始接踵而至。Intel CPU新型漏洞出现，理论上来说，不管你使用的是什么操作系统，利用这一最新的CPU漏洞都可以通过计算机从你的程序中（包括加密软件）提取数据。

新型Intel CPU漏洞

据悉，这一最新的Intel CPU漏洞——“Lazy FP state restore（Lazy FP状态保存/恢复）”，是被来自Amazon德国公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher，以及SYSGO AG公司的Zdenek Sojka共同发现的。

理论上来说，不管你使用的是什么操作系统，利用这一最新的CPU漏洞都可以通过计算机从你的程序中（包括加密软件）提取数据。

Red Hat计算机架构师Jon Masters在接受访问时解释称，CVE-2018-3665，也被称为Lazy FP状态保存/恢复，是另一个推测执行漏洞，影响了一些常用的现代微处理器。它类似于之前的‘Specter’变种3-a。需要特别指出的是，该漏洞不会影响AMD处理器。

据研究人员介绍称，存在这种漏洞的原因在于现代CPU中包含很多寄存器（内部存储器），来代表每个正在运行的应用程序的状态。从一个应用程序切换到另一个应用程序时，保存和恢复这种状态需要花费时间。为了实现性能优化，这一过程可能会以“Lazy”的方式完成，而正是这种旨在方便用户的操作，却沦为了攻击切入口。

也就是说，如果操作系统在上下文切换时，使用了 CPU 的 Lazy FP 功能进行系统状态的保存与恢复，攻击者可以利用CPU的预测执行功能获取其他进程在寄存器中保存的数据。

“免疫”的操作系统

对于一些操作系统而言，修复程序已经包含其中。例如，Red Hat Enterprise Linux（RHEL）7已经在所有最新实现“XSAVEOPT”扩展的x86-64微处理器（大约2012年和更晚版本）上自动默认使用 Eager FP 取代 Lazy FP。因此，大多数RHEL 7用户将不需要采取任何纠正措施，但是，RHEL 5、6版本的用户则需要对其服务器进行修复。

其他被认为是安全的操作系统还包括，使用2016年发布的Linux 4.9或更新内核的任何Linux版本。目前，Linux内核开发人员正在修补较早版本的内核；大多数Windows版本（包括Server 2016和Windows 10）也都被认为是安全的。但是，如果您仍在使用Windows Server 2008，那么你将需要补丁程序来修复该漏洞；最新版本的OpenBSD和DragonflyBSD同样是免疫的，此外，FreeBSD中也有一个可用的补丁程序。

根据Masters的说法，好消息是，这个漏洞影响有限，因为尽管该漏洞十分严重，但是利用起来比较困难，而且修复起来比较容易。更好的消息是，修复该漏洞的程序不会像以前一样影响设备性能，反而会提升设备性能。

不过，尽管它不是一个很可怕的安全漏洞，但它仍然是一个现实存在的安全问题，如果您的系统不能对该漏洞免疫，请及时进行修复。

现在，Intel官方已经就此作出正式回应：“这个被称为延缓浮点状态恢复(Lazy FP state restore)的问题类似于变体3a。许多个人电脑和数据中心产品中使用的操作系统和虚拟机管理软件已就这个问题有所修正。我们的行业合作伙伴正在为那些依旧受影响的运行环境开发软件更新，我们预计这些更新将在未来几周发布。”

Intel同时强调：“我们将继续遵循协同披露原则，并感谢亚马逊德国公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher、SYSGO AG公司的Zdenek Sojka和Colin Percival向我“们报告这个问题。我们也非常鼓励业内其它厂商遵循协同披露原则。”

换言之，Intel希望谁也不要再像今年初那样不和大家商量就曝光熔断、幽灵漏洞，让整个行业手忙脚乱。

随着国外软硬件产品的信息安全问题凸显，我国也在不断加快去IOE化进程。中国软件业仅用了二十年的时间完成了从无到有飞跃发展。中国软件业发展到今天，迎来了最关键问题——自主核心科技。这个问题关系到国家信息系统的安全与稳定，也关乎中国的国际影响力。

由工业和信息化部、北京市人民政府主办的 2018 第二十二届中国国际软件博览会（简称“2018 软博会”）将于 6 月 29 日 -7 月 2 日在北京展览馆举行，展览时间 6 月 29 日 -7 月 1 日，主题为“新时代、新理念、新软件”。中国国际软件博览会已连续举办了二十一届，是我国软件和信息技术服务领域持续举办时间最长、 效果影响最大的专业展览。

数据安全领军企业优炫软件将应邀出席会议，并将携六大核心数据保护产品体系、行业整体解决方案、优炫云数据库（UXDB）和优炫信息安全产业园项目方案亮相2018软博会；并将在大数据赋能实体经济专题论坛发表精彩演讲。优炫软件诚邀您一同出席2018软博会，全球盛会，大咖云集，期待您的到来，届时期待与您共襄盛举！