Intel处理器的ZombieLoad(丧尸负载)漏洞是什么，如何修复

就上次Intel处理器爆出漏洞需要打补丁，同时造成电脑性能下降至少10%的余悸还没消除，这边国外媒体又爆出了Intel CPU另一处名为ZombieLoad（丧尸负载）的新漏洞，相同的是，这些漏洞都是利用Intel处理器硬件上的微架构缺陷，只能通过硬件（Intel）或操作系统生产商推出补丁来修复。ZombieLoad漏洞的可怕之处在于，它通过造成CPU分支预测的溢出，从而获得当前处理器缓存里所有应用软件的数据，甚至包括云服务器上本应各自隔离的虚拟机中的数据。

ZombieLoad漏洞的危害

对于个人用户来说，你们可能一时难以明白这个漏洞的危害有多大，我简单点跟你们说，目前个人电脑市场的确开始有部分AMD处理器（没这个漏洞）抢夺了Intel的处理器市场，但初步估算跟Intel的市场占比为15:85，这是个人领域。在服务器领域，这个比例就更大了，或许为3:97，言下之意，几乎95%以上的服务器都是使用Intel家的处理器。而现在这个ZombieLoad漏洞，据外媒估计可能自2011年后的Intel处理器都含有这个漏洞，而云（云服务器/云盘）开始于3-4年前，因此这些服务器毫无疑问采用了含有该漏洞的Intel处理器。

哪么可怕的地方来了，通过某种特定的操作，譬如引导用户安装带有恶意代码的软件，该软件就能造成Intel处理器预测执行崩溃，从而读取此刻位于Intel CPU待执行命令缓冲区的所有当前运行的应用数据（包括以虚拟机方式隔离的所有此刻运行中的服务器数据）。其实现在我们用的很多App，他们背后都是需要服务器来提供服务的，而且他们大部分都是租用一些云公司的超大型物理服务器集群通过软件再切割出来的“虚拟服务器”（就是所谓的云主机），曾经因为Intel的VT硬件隔离技术，这些虚拟机（同一台物理服务器里）之间的数据都是彻底隔离的，譬如在某台物理服务器上，一共运行有A、B、C三个不同公司的App，各自使用不同的虚拟机隔离开来，曾经在理论上，它们三个App和该云主机空间里存储的数据是绝对不可能被另一个虚拟机的用户访问的，也就是说哪怕A虚拟机被黑了，所有数据泄露，但B虚拟机和C虚拟机都是安全的（虽然它们实质上都位于同一台物理主机上）。但有了这个僵尸负载漏洞后，可能B网站被安装了带有安全问题的软件，哪么B和C应用此刻用户实时提交和访问的数据，也有可能因为A应用的虚拟机沦陷而被读取。

也就是说，如果云服务器商（大部分小型App应用租用的服务器提供商）不第一时间升级操作系统的话，极有可能在你完全不知情的情况下，你的什么信用卡或家庭住址电话等信息就被人家读取了，你还不知道。因为根据外媒报道，这种基于处理器微架构的攻击暂时是没办法被识别出来的。而一般的云服务器供应商，一台物理服务器上可能运行着至少8-32个不同的虚拟机。

个人用户如何应对ZombieLoad漏洞

对于这个高度危险的微架构数据采样（MDS）安全问题，Intel表示部分最新款的第八代和第九代Intel酷睿处理器及第二代至强可扩展处理器已经在硬件层面修复了。同时，对于早前发布的Intel Xeon，Intel Broadwell，Sandy Bridge，Skylake和Haswell芯片。英特尔Kaby Lake，Coffee Lake，Whiskey Lake和Cascade Lake芯片也受到影响，以及所有Atom和Knights处理器也已经推出MCU（微码更新），安装该更新后，系统将更为积极的清除位于Intel处理器缓冲区里的数据，所以这也带来了个人电脑大约3%，服务器大约9%的性能损失。

对于苹果电脑来说，苹果公司表示他们已经在MacOS Mojave及之后的操作系统版本和新版Safari浏览器中修复了这一漏洞，Macbook及Mac用户只需要及时更新最新的系统补丁即可。

而Google表示，最新版的Chrome 74浏览器，已经通过禁用Intel处理器的HT（Hyper-Threading）超线程技术来避免被这一漏洞所危害。但用过Chrome浏览器的同学应该知道，如果禁用HT技术，那本就超级吃CPU的Chrome浏览器减了一半的CPU核心（关闭超线程），这酸爽...

而微软也表示即将于今天晚些时候发布基于Windows10的该漏洞补丁，在用Windows PC的用户记得到时候更新一下，不过就像上文所说的，你的电脑又将慢一点了。

如果你不知道自己的电脑是否已经修补完该漏洞，欢迎添加我们微信公众号 POPPUR 咨询

上一篇：win10超级终端在哪怎么用，附Windows Terminal下载
下一篇：五月Win10更新了什么？附Win10 1903更新文件下载