Meltdown 和 Spectre CPU 缺陷影响所有 iOS 和 Mac 设备,但不要惊慌
自从我们第一次听说这一影响深远的产品以来,我们就一直在等待 Apple 的消息崩溃和Spectre 本周早些时候出现 CPU 缺陷,该公司已终于回应了一些不太好的消息:所有 Mac 和 iOS 设备都会受到影响。没错,他们所有人。不过,苹果向我们保证,没有理由恐慌。
正如我们整个星期了解到的那样,苹果公司解释说,这些错误与称为推测执行的 CPU 功能有关,该功能旨在通过同时处理多个任务来提高速度:”为了提高性能,CPU 预测最有可能采用分支的哪条路径,并且即使在分支完成之前也会推测性地继续沿该路径执行。如果预测错误,这种推测执行就会以软件不可见的方式回滚。”从理论上讲,Meltdown 和 Spectre 漏洞利用能够欺骗该过程,以获得对特权数据的访问权限。
为什么这很重要:苹果不仅仅是世界上最大的手机制造商之一。它也是最大的芯片制造商之一,每年 CPU 出货量超过 2 亿个。与英特尔和谷歌一样,苹果正在采取适当的措施来缓解 Meltdown 和 Spectre 造成的问题,但真正的问题是它将如何影响未来的芯片设计。风险可能很小,但仍然需要做出改变。所有的目光都将集中在新的 iPad、iPhone 和 Apple Watch 芯片上,因为苹果可能会处于处理投机执行的新行业标准的最前沿。
降低风险
正如之前所发现的,Apple 已经在 12 月发布的 macOS 10.13.2 中发布了针对 Mac 中英特尔芯片缺陷的缓解措施,以帮助防御 Meltdown 漏洞。苹果还表示,iOS 11.2 和 tvOS 11.2 也包含 Meltdown 缓解措施,这意味着 iPhone、iPad 和 Apple TV 设备与 PC 一样容易受到攻击。据 Google 的研究。
最值得注意的是,苹果表示,GeekBench 4、Speedometer 和 JetStream 等公共基准测试表明,Meltdown 缓解措施”并未导致 macOS 和 iOS 的性能出现明显下降。”
对于 Spectre,苹果回应了谷歌的调查结果,即黑客使用应用程序”极难利用”该漏洞,但”可能会在网络浏览器中运行的 JavaScript 中被利用”。即将推出的 Safari 更新将降低这一风险,不过目前还不清楚它是否会带来与 Chrome 的”严格站点隔离”类似的功能,或者更简单地隐藏泄露的数据免受潜在攻击。与 Meltdown 一样,苹果公司表示,这些缓解措施对 Safari 浏览器”不会产生可衡量的影响”,并引用了对 Speedometer 和 ARES-6 进行的测试,以及 JetStream 基准测试显示”影响不到 2.5%”。
此外,Apple 正在继续在其操作系统中开发 Spectre 缓解措施,并将在即将推出的 iOS、macOS 和 tvOS 更新中发布它们。值得注意的是,苹果表示 Apple Watch 不易受到 Spectre 或 Meltdown 漏洞的影响。
自 2010 年 iPhone 4 推出以来,苹果一直在生产自己的 A 系列芯片系统。最初基于 ARM 的 Cortex 架构,2012 年推出的 A6 首次推出了苹果设计的 ARM CPU,此后一直用于 iPhone, iPad 和苹果电视。它还生产用于无线和网络的 W 系列芯片、用于 MacBook Pro 和 iMac Pro 的 T 系列配套芯片以及用于 Apple Watch 的 S 系列芯片。