自從今年初Spectre幽靈、Metldown熔斷兩大安全漏洞被曝光、對整個處理器行業造成重大沖擊以來，以Intel爲首的軟硬件行業公司都加強了對於處理器安全漏洞的檢測、防範和修復。

現在，Intel與夥伴主動披露了一個新的安全漏洞“L1終端故障”(L1 Terminal Fault)，簡稱L1TF，並同時公佈了完整的防禦措施。

【漏洞解析】

L1TF是一種最近發現的推測執行側信道分析的安全漏洞，會影響一部分支持Intel SGX軟件保護擴展的處理器，包括自第二代酷睿(Sandy Bridge)以來的各類桌面、移動筆記本、服務器和數據中心產品。

該漏洞由魯汶大學、以色列理工學院、密歇根大學、阿德萊德大學、Data61的研究人員首次發現並向Intel報告。

Intel進一步研究後發現，L1TF漏洞的另外兩種相關應用還存在影響其它處理器、操作系統和虛擬化軟件的可能。

L1TF和此前發現的幽靈漏洞多個變體類似，三種應用都是與預測執行側信道緩存計時相關的漏洞，不過這次的攻擊目標是一級數據高速緩存，其中存儲着關於“處理器內核下一步最有可能做什麼”的信息。

【防禦措施】

L1TF漏洞報告是Intel主動公佈的，因爲在此之前Intel已經完成了相關研究，並部署了相應的防禦措施。

事實上，Intel今年早些時候發佈的微代碼更新(MCU)，就包含了針對L1TF所有三種應用的防禦策略，爲系統軟件提供了清除該共享緩存的方法。

即日起，行業合作伙伴和開源社區也會陸續發佈針對操作系統和管理程序軟件的相應更新。

此外，今年3月份Intel就已經宣佈，會在硬件層面作出改變，以抵禦安全漏洞，其中就包括L1TF在內，首先是代號Cascade Lake的下一代Xeon至強可擴展處理器，和今年晚些時候推出的全新PC處理器。

Intel強調，目前還沒有收到這些漏洞被實際攻擊利用的報告。

【性能影響】

Intel預計，針對漏洞進行系統更新後，運行非虛擬化操作系統的消費者和企業用戶面臨的安全風險會降低，而基於在測試系統上運行的性能基準測試，尚未看到上述防禦措施對性能產生任何顯著的影響。

針對另外一部分市場，特別是數據中心領域運行傳統虛擬技術的，由於無法保證所有虛擬化系統已安裝必要更新，Intel建議採取額外措施來保護其系統，包括啓用特定管理程序內核調度功能、在某些特定場景中關閉超線程。

對於這些特定情況，某些特定負載上的性能或資源利用率可能會受到影響，並相應發生變化。

Intel與行業合作伙伴正在研究多種解決方案來應對這一影響，以便客戶可以根據自己的需求選擇最佳方案。

爲此，Intel已經開發了一種方法，可以在系統運行期間即時檢測基於L1TF漏洞的攻擊，只在必要時才啓用防禦措施。

Intel已經爲一些合作伙伴提供了具有這項功能的預覽版微代碼，供評估試用，並希望在今後逐步推廣。