x86 CPU bug 更详细的技术细节流出

原来是两个 bug 吗。。。噩梦。。。

还没搞清楚怎么钻进这个洞去，丧

https://www.youtube.com/channel/UCXuqSBlHAE6Xw-yeJA0Tunw 这个 Linus ？

这是阴谋，妈蛋，逼着我们升级 cpu

不明觉厉。

看看有没有牛逼国家要求召回 CPU …… 要求提供不损失性能的解决方案

@realpg Intel 到现在也没承认他们的 CPU 有缺陷，说 KPTI 补丁是因为本身 CPU 就该这么用。

或者换句话说以前没有 KPTI 的时候有 30% 的性能提升是 bug。

明显在逃避责任，这才是 Linus 开喷的主要原因。

哈哈哈哈，不好意思之前牙膏给你们挤多了现在我想收回来一点 #滑稽

@dndx 这是说明 Intel 挤牙膏很努力吗？

不是程序员的我还是不懂在说什么

@dndx #7
所以我说有没有牛逼国家啊
因为到底是不是问题的鉴定不是 intel 说啥就是啥的
比如微软啥时候都说自己不是垄断，不还是各种罚单……

我怀疑是故意留的后门

"Spectre" bug 是几乎所有存在乱序执行和分支预测功能的处理器都有的，但危害不大，也难补。
"Meltdown" bug 是这次危险最严重的漏洞，这个漏洞在大部分的 intel 处理器和 ARM Cortex-A75 上都有。农企家的 AMD 处理器也有，其他部分 ARM 处理器也有，但不能完成全部攻击步骤。

linus 就喷这些 workaround 是写死的，不能在编译时开关。
intel 你们现在把这个写死，是不是意思就是今后也不准备真正修复这个问题，而是准备用这个 works 继续自欺欺人下去。

@ryd994 写死了一是可以继续不承认这个是缺陷，二是拖累所有 CPU，这样 Intel 的速度优势还能得以保持。

@lisonfan 最早写 linux 内核的那个 linus

@Nin Spectre 可以跨进程读取内存和跨 V8 沙盒读取渲染进程地址空间，这危害还不大？

Speculative attack 影响目前所有操作系统 只要带网页浏览器 iOS 的 webkit 也要打补丁 我在想 QQ X5 怎么办

AMD 方面似乎 Ryzen 系列安全，FX 系列中枪，再之前的羿龙翼龙系安全？
@Nin

Intel 及 AMD CPU 受 "Meltdown" bug 影响，可以跨特权级读取内存，这是 KPTI 修复的 bug，AMD 不受影响。

只有我没读懂这句话吗？

@realpg

这么好的理由，欧盟肯定又要开罚单了

@KyonLi 不好意思，AMD CPU 应该是不受 Meltdown 影响，或者是目前没有 exploit 可以证明。

看 Kernel 里目前对于 AMD CPU 也是不打算开启 KPTI 的。

@dndx 但是难以利用，相比 Meltdown 这种可以完整执行的，明显后者危险更大

@dndx 毕竟一行浏览器里的 JS 代码就能直接提权，这个就吓人了

@Nin 既然 exploit 都已经存在了，那就没难以利用一说了，只不过我们还没有 exploit 而已。

不过 Spectre 主要是同权限下的内存读取，似乎并不能跨特权级提权。

后排 870 收 i7 8700k

@leakless 你这不合规矩啊，这样吧我 8700 出给你

@em84 8700 日元出 i7 8700k 是嘛...那我勉为其难的就收了吧...
被黑的风险我自己默默承担安全留给你...双赢~

所以 8 代也不能幸免？

KPTI 对 spectre 无效吗？

@dndx ？这 google blog 写着 Spectre Variant 1 是 user 读 kernel Variant 2 能达到 VM 读宿主

@ryd994 一种说法是 Pentium Pro (1995)之后均有这个问题 也有说 Pentium 4 以后的 极少数豁免

@lrxiao 参见 Spectre 论文的 1.1 Our Results。KPTI 据我的理解是修 Meltdown，对 Spectre 并没有通用的修复。

@lrxiao 哎呦我新买的 8 代
早知道再等等了
不过黑五打了 75 折………
性能也打 75 折
加起来没亏（眼泪怎么出来了

所以新买的 mbp 要打折扣了么

我为什么感觉第二个更严重？

浏览个网页结果被 js 把 keepasss 内存的密码给读取了？

@gamexg 第二个的影响范围是第三个的真子集
能获得内核特权，用户空间的任何软件都不足为惧

嗯 应该是的 我又上 reddit 上看了看

这个利用放出来了 ，能像上次 wannacry 这么再来一下。。。。。

@zone53 https://9to5mac.com/2018/01/03/mac-fix-for-intel-kernel-bug/ Mac 去年 12 月的补丁就补过了，丝毫没有变慢

@gamexg 是的，而且更尴尬的是 Spectre 无法容易的修复，Chrome 64 要推出的“修复”也只是把 performance.now 的精度降低，让 timing attack become less efficient。并不是从根本上解决问题。

这也是 Chrome 官方只将其称为 "temporary measure" 的原因。

@xuanboyi #40 https://www.zhihu.com/question/265012502/answer/288724020 是因为 PCID ？ 不过这个漏洞对个人用户影响不大，云厂商啥的比较大。阿里云已经预定 12 号升级了

@ryd994 #37 我看着是读取，如果只是读取应该无法取得内核特权吧？

小白表示看不懂
作为个人用户
如果让我选择 30%性能和安全
我选择 30%性能

@gamexg 嗯，内存读取是无法直接用来提权，但是可以用作提权的 vector。

换句话说，如果你已经可以在 Ring 3 里用普通用户随便读取别的进程的数据了，提权也没什么必要了。毕竟提了权也就是能读这些东西而已。

好像都没人提到联发科。。

@winterbells 提到了 arm，不包括吗?

@winterbells 联发科一样使用 arm 架构

"Why is this all done without any configuration options?"，嘻嘻，这不跟 iPhone 降频一个球样么，without any options.

用在苹果身上毫无违和感。

Because I really see exactly two possibibilities:

- Apple never intends to fix anything

OR

- these workarounds should have a way to disable them.

难道没有人提到龙芯么？

struct array {
unsigned long length;
unsigned char data[];
};
struct array *arr1 = ...; /* small array */
struct array *arr2 = ...; /* array of size 0x400 */
/* >0x400 (OUT OF BOUNDS!) */
unsigned long untrusted_offset_from_caller = ...;
if (untrusted_offset_from_caller < arr1->length) {
unsigned char value = arr1->data[untrusted_offset_from_caller];
unsigned long index2 = ((value&1)*0x100)+0x200;
if (index2 < arr2->length) {
unsigned char value2 = arr2->data[index2];
}
}

凡是预测执行可能导致 arr2->data[index2]进入 cache 的架构都是受 SPECTRE 影响的.

@eurokingbai2 记得龙芯没有 x86 授权吧

@iFlicker 龙芯是 MIPS 指令集，整个流水线架构是自主研发的。

突然想起《疯狂的硬盘》里的那个万能远程工具了。

304 不锈钢盆（保证不漏）换各种 i5 i7 cpu，AMD 的兄弟抬下脚

没看懂，请问有没有漏洞攻击工具了？

@BlueFly 好像还没有，但国家队应该有了，发现这个漏洞的研究员好像都签了保密协议。

@BlueFly #57 test vulnerable 的 POC 有 https://github.com/Eugnis/spectre-attack

所以国家一直在搞自主可控的处理器
前端时间还正式发布了首个自主可控的网络防火墙

我试图向我爸妈一辈的人解释这个事情，这两个 BUG 可以像下面这样形容吗？
如果把数据比作钱，存储数据的空间比喻成银行
利用 Meltdown，可以让黑客偷去银行里面属于央行的钱。
利用 Spectre，可以让黑客偷取别人账户的钱。

@jaleo 这和是不是自主可控没关系，自主可控一样可能有大 bug，人发现了根本就不告诉你

@VYSE linux 上实测带有 invariant tsc 的新处理器全中招，老的 core2 在__rdtscp 处非法指令，换成 rdtsc 能跑过，但基本不中招。牙膏厂只要弄个开关把 tsc 弄得模糊点应该可以应付过去 spectre 攻击。

新赛扬，core i：
# /tmp/spectre-attack
Putting 'The Magic Words are Squeamish Ossifrage.' in memory
Reading 40 bytes:
Reading at malicious_x = 0xffffffffffdfeb98... Success: 0x54=’ T ’ score=17 (second best: 0x05 score=6)
Reading at malicious_x = 0xffffffffffdfeb99... Success: 0x68=’ h ’ score=17 (second best: 0x05 score=6)
Reading at malicious_x = 0xffffffffffdfeb9a... Success: 0x65=’ e ’ score=2
Reading at malicious_x = 0xffffffffffdfeb9b... Success: 0x20=’ ’ score=2
Reading at malicious_x = 0xffffffffffdfeb9c... Success: 0x4D=’ M ’ score=2
Reading at malicious_x = 0xffffffffffdfeb9d... Success: 0x61=’ a ’ score=19 (second best: 0x00 score=6)
Reading at malicious_x = 0xffffffffffdfeb9e... Success: 0x67=’ g ’ score=2
Reading at malicious_x = 0xffffffffffdfeb9f... Success: 0x69=’ i ’ score=2
Reading at malicious_x = 0xffffffffffdfeba0... Success: 0x63=’ c ’ score=125 (second best: 0x00 score=61)
Reading at malicious_x = 0xffffffffffdfeba1... Success: 0x20=’ ’ score=2
Reading at malicious_x = 0xffffffffffdfeba2... Success: 0x57=’ W ’ score=2
Reading at malicious_x = 0xffffffffffdfeba3... Success: 0x6F=’ o ’ score=2
Reading at malicious_x = 0xffffffffffdfeba4... Success: 0x72=’ r ’ score=2
Reading at malicious_x = 0xffffffffffdfeba5... Success: 0x64=’ d ’ score=2
Reading at malicious_x = 0xffffffffffdfeba6... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfeba7... Success: 0x20=’ ’ score=97 (second best: 0x05 score=46)
Reading at malicious_x = 0xffffffffffdfeba8... Success: 0x61=’ a ’ score=2
Reading at malicious_x = 0xffffffffffdfeba9... Success: 0x72=’ r ’ score=2
Reading at malicious_x = 0xffffffffffdfebaa... Success: 0x65=’ e ’ score=107 (second best: 0x00 score=50)
Reading at malicious_x = 0xffffffffffdfebab... Success: 0x20=’ ’ score=2
Reading at malicious_x = 0xffffffffffdfebac... Success: 0x53=’ S ’ score=2
Reading at malicious_x = 0xffffffffffdfebad... Success: 0x71=’ q ’ score=2
Reading at malicious_x = 0xffffffffffdfebae... Success: 0x75=’ u ’ score=2
Reading at malicious_x = 0xffffffffffdfebaf... Success: 0x65=’ e ’ score=2
Reading at malicious_x = 0xffffffffffdfebb0... Success: 0x61=’ a ’ score=513 (second best: 0x00 score=255)
Reading at malicious_x = 0xffffffffffdfebb1... Success: 0x6D=’ m ’ score=2
Reading at malicious_x = 0xffffffffffdfebb2... Success: 0x69=’ i ’ score=2
Reading at malicious_x = 0xffffffffffdfebb3... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfebb4... Success: 0x68=’ h ’ score=13 (second best: 0x00 score=5)
Reading at malicious_x = 0xffffffffffdfebb5... Success: 0x20=’ ’ score=2
Reading at malicious_x = 0xffffffffffdfebb6... Success: 0x4F=’ O ’ score=17 (second best: 0x00 score=7)
Reading at malicious_x = 0xffffffffffdfebb7... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfebb8... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfebb9... Success: 0x69=’ i ’ score=93 (second best: 0x00 score=45)
Reading at malicious_x = 0xffffffffffdfebba... Success: 0x66=’ f ’ score=2
Reading at malicious_x = 0xffffffffffdfebbb... Success: 0x72=’ r ’ score=2
Reading at malicious_x = 0xffffffffffdfebbc... Success: 0x61=’ a ’ score=2
Reading at malicious_x = 0xffffffffffdfebbd... Success: 0x67=’ g ’ score=2
Reading at malicious_x = 0xffffffffffdfebbe... Success: 0x65=’ e ’ score=2
Reading at malicious_x = 0xffffffffffdfebbf... Success: 0x2E=’.’ score=251 (second best: 0x00 score=122)

老 core2，每次结果不一样，因为 tsc 不准，这是猜对最多的一次：
#./spectre-attack 10
Putting 'The Magic Words are Squeamish Ossifrage.' in memory
Reading 40 bytes:
Reading at malicious_x = 0xffffffffffdfeb78... Success: 0x54=’ T ’ score=2
Reading at malicious_x = 0xffffffffffdfeb79... Success: 0x68=’ h ’ score=2
Reading at malicious_x = 0xffffffffffdfeb7a... Success: 0x65=’ e ’ score=6
Reading at malicious_x = 0xffffffffffdfeb7b... Success: 0x20=’ ’ score=2
Reading at malicious_x = 0xffffffffffdfeb7c... Success: 0x4D=’ M ’ score=1
Reading at malicious_x = 0xffffffffffdfeb7d... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb7e... Success: 0x67=’ g ’ score=1
Reading at malicious_x = 0xffffffffffdfeb7f... Success: 0x69=’ i ’ score=1
Reading at malicious_x = 0xffffffffffdfeb80... Success: 0x63=’ c ’ score=2
Reading at malicious_x = 0xffffffffffdfeb81... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb82... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb83... Success: 0x6F=’ o ’ score=1
Reading at malicious_x = 0xffffffffffdfeb84... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb85... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb86... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfeb87... Success: 0x66=’ f ’ score=1
Reading at malicious_x = 0xffffffffffdfeb88... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb89... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8a... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8b... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8c... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8d... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8e... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb8f... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb90... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb91... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb92... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb93... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb94... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb95... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb96... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb97... Success: 0x73=’ s ’ score=2
Reading at malicious_x = 0xffffffffffdfeb98... Success: 0x00=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb99... Success: 0x69=’ i ’ score=2
Reading at malicious_x = 0xffffffffffdfeb9a... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb9b... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb9c... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb9d... Success: 0xFF=’?’ score=0
Reading at malicious_x = 0xffffffffffdfeb9e... Success: 0x65=’ e ’ score=1
Reading at malicious_x = 0xffffffffffdfeb9f... Success: 0xFF=’?’ score=0

@hippies 被发现了叫漏洞，没发现叫后门。天知道 CIA 用这个干了多少事。
这就是为什么需要自主可控芯片的原因

@jaleo 自主可控就不需要后门了，直接前门

@jaleo 天知道这个后门也帮了我国多大的忙，就这样给搅和了，哭

看 linus 的回复真带感.

"Maybe even a L1 I$ that is keyed by CPL." 这个没看懂

lkml.org 的 G+ 分享数挂了..

@bigphat 简单点 你买的新房子 用你家钥匙可以开整栋楼的门。。。 解决方案 安装防盗门。 后果导致回家开门的时候要多开一道门耽误了进门时间

打完补丁 VM 性能下降严重（写入掉了一半，读取掉了三分之一，仅 VM 环境）……
简直是 fuck intel ……

Intel 至少得怎么补偿下客户吧，否则太不爽了。

我想知道骁龙 845 有没有被波及，哈哈哈哈哈哈，想想都想笑。。

第一句话翻译错了，你自己再读读看……

谁能用通俗的话给我解释一下，这个"BUG “不打补丁修复的话，可能会在什么场景下遇到什么问题？

@cppgohan dollar=cash=cache,
I=instruction
Linus 的意思是 cpu 内建一个按 cpl 分桶的指令缓存，哪怕用这么土的方法达到前面一句话的 make sure...也行啊，都按 cpl 分开了肯定不能跨特权级了嘛……鬼知道人家硬件工程师是不是受限于成本才不这么干呢

@stabc #73

https://twitter.com/twitter/statuses/948706387491786752

@fline 如果你有看卤煮发的全部内容，就该知道 845 也受影响

不知道如果 vps 的 host 打了补丁，VM 没打补丁的话，能否读取其他 VM 的数据

所以到底哪个型号的 CPU 受影响？或者哪个型号的不受影响？

怎么知道系统打了修正这几个问题的补丁？ 包括 Windows 和 Linux 系统。
普通用户只有任人宰割了

@kaneg Linux 的话 4.13.11 后的版本是有 Meltdown 的补丁的。

Spectre 无通用补丁。

@alexyangjie 当然不能。VM 的内存空间也是 host 内存空间的一部分，服从 host 内存管理。

@alexyangjie 如果 host 和 vm 都打了补丁，没准可以实现 double 的性能 debuff。。

@kaneg Windows 可以用 powershell 的 Get-SpeculativeXXX 什么的包查看

@eurokingbai2
如果是这样的话，主机打了 patch，vm 就不需要打了，否则性能损失更大。反之 vm 打了，主机不打，还是没用的。

如果以上推断正确，托管在 cloud 的 vps 是不是根本不需要打补丁，而是坐等厂商修复。

@farseeraliens Intel 肯定不会这么做的，这一下指令缓存部分的电路复杂度直接 x4，感觉不大改架构很难做到。

@mingl0280 #69 什么虚拟化方式？
我看 esxi 声称打完补丁后 esxi 不会出现性能下降，当然虚拟机内部还需要打自己的补丁，那个会照成性能下降。

Now, the big question … Will applying the patch slow down ESXi?

The answer is no. All tests performed so far have shown that the patch has no measurable impact on ESXi. The virtualization specific performance impact of these mitigations should be negligible, if any. That said, depending on how guest OSes are fixed against those vulnerabilities may impact their own performance. Please check with the other respective OS vendors for more information.

iDevice A 系 受影响吗

@fline #71 很遗憾,ARM 自爆 3 个洞就 845 的 A75 核全中,不清楚实际出品会怎样

@privil #42 为什么对个人影响不大? 如果下到恶意软件不是容易提权之类的吗?

@clino #89 有装杀毒软件，可以在恶意软件生效之前抓到吧，大厂商的软件已经开始修补漏洞了，保持更新，个人电脑性能损失不大，云厂商比较凄惨

@lslqtz #87
苹果证实所有 Mac 和 iOS 设备都受到了 Meltdown 和 Spectre CPU 漏洞的影响

@privil #90 看资料 js 就能读取其他进程内存，可以想象浏览个网页 keepass 的密码就被读取了...

@gamexg #92 已经更新 firefox 了……

“ Intel never intends to fix anything ”，哈哈，说的太对了。

@gamexg 老版本的 VMWare Workstation+iSCSI NAS