如何在 Mac 上启用 MDS / Zombieload 的完全缓解
处于特别强大的对抗性威胁环境中的高级 Mac 用户可能会觉得有必要在他们的 Mac 计算机(以及与此相关的 PC)上启用对 Intel MDS 处理器漏洞的全面缓解。 MDS 代表微架构数据采样 (MDS),通俗地称为“Zombieload”,基本上是实际英特尔处理器本身的一个漏洞,理论上可能导致攻击者访问任何受影响的英特尔计算机、Mac 或 PC 上的敏感数据。 (如果您密切关注安全新闻,Zombieload 漏洞有点像 Spectre 和 Meltdown 安全漏洞 a> 去年)。
虽然 Apple 已将安全补丁应用到 macOS Mojave 10.14.5 和安全更新 2019-003对于 High Sierra 和 Sierra,这应该有助于防止大多数 Mac 用户遇到麻烦,但在异常高的安全风险环境中操作的其他 Mac 用户可能会觉得需要更进一步,并启用针对 MDS / Zombieload 的全面缓解。
为 Intel MDS 漏洞启用全面缓解涉及禁用 CPU 本身的超线程,这可能导致机器性能降低大约 40%。这显然是一个相当严重的性能损失,因此绝大多数人不应该为此烦恼,因为绝大多数人也不会处于安全威胁环境中,这会使他们面临成为此类漏洞目标的风险。
不过,如果您特别担心配备 Intel CPU 的 Mac 上的 Zombieload / MDS 攻击媒介,我们将在下面讨论如何全面缓解攻击。
如何在 Intel Mac 上启用对 Zombieload / MDS 的全面缓解
请记住,要在 Mac 上启用 MDS / Zombieload 的完全适应,您必须禁用 CPU 超线程,这会导致严重的性能损失。绝大多数 Mac 用户不应该为此烦恼。
请注意,Mac 必须运行 MacOS Mojave、macSO Sierra、MacOS High Sierra 或更新版本。
- 首先,安装 MacOS Mojave 10.14.5,或 High Sierra 安全更新 2019,或Mac 上的 Sierra(或更高版本)安全更新 2019
- 转到 Apple 菜单并选择“重新启动”以重新启动 Mac
- 重新启动时立即按住 Command+R 以将 Mac 引导至恢复模式
- 当您进入“实用程序”屏幕时,下拉菜单栏中的“实用程序”菜单并选择“终端”
- 输入以下命令,然后回车
- 接下来键入以下命令,然后再次按回车键:
- 转到 Apple 菜单并选择“重新启动”以重新启动 Mac
nvram boot-args="cwae=2"
nvram SMTDisable=%01
这些全面缓解的说明直接来自 Apple .
如何在 Mac 上恢复完整的 MDS 缓解和启用超线程
如果您想恢复对 Zombieload / MDS 的完全缓解并在 CPU 上重新启用超线程,您需要 重置 Mac NVRAM / PRAM 以清除在完全缓解中所做的定义的 nvram 更改。这在所有 Mac 机型上都是一样的:
- 关闭苹果机
- 打开 Mac,然后立即同时按住 COMMAND OPTION P R 键
- 同时按住 COMMAND OPTION P R 键约 20 秒,然后松开
- 在听到第二声开机提示音后松开按键(在播放开机声音的 Mac 上),或在看到 Apple 标志后(在配备 T2 芯片的 Mac 上)
Mac 现在将像往常一样启动,并重置 NVRAM,再次启用超线程,并且 MDS 的完全缓解不再存在。
如果你不确定设置了什么。
请注意,如果您使用固件密码,您可能需要暂时关闭它才能有效地重置 NVRAM。
到底什么是 MDS / Zombieload?
有关 MDS / Zombieload 以及缓解过程的更多背景信息,您可能希望参考 Apple 的支持文章,其中 描述 MDS 风险和完全缓解措施如下:
英特尔披露了称为微架构数据采样 (MDS) 的漏洞,该漏洞适用于采用英特尔 CPU 的台式机和笔记本电脑,包括所有现代 Mac 电脑。
虽然在撰写本文时还没有影响客户的已知漏洞,但认为自己的计算机面临更高攻击风险的客户可以使用终端应用程序启用额外的 CPU 指令并禁用超线程处理技术,该技术提供全面保护免受这些安全问题。
此选项适用于 macOS Mojave、High Sierra 和 Sierra,可能会对您的计算机性能产生重大影响。
此外,启用全面缓解涉及禁用 Intel CPU 上的超线程,这会显着降低性能。 Apple 对此的描述如下:
全面的缓解措施(包括禁用超线程)可防止跨线程以及在内核和用户空间之间转换时发生信息泄漏,这与本地和远程(网络)攻击的 MDS 漏洞相关。
Apple 于 2019 年 5 月进行的测试表明,在包含多线程工作负载和公共基准测试的测试中,性能降低了 40%。性能测试是使用特定的 Mac 计算机进行的。实际结果会因机型、配置、使用情况等因素而异
您可能还有兴趣直接从英特尔阅读有关微架构数据采样 (MDS) 的更多信息在 Intel.com 上。
关于 Zombieload / MDS 的另一个信息来源是此处为官方 Zombieload 攻击披露网站,由发现安全漏洞的研究人员创建。下面这些安全研究人员的视频展示了 Zombieload 攻击被用来从目标机器收集信息,尽管 使用包含在虚拟机中的 TOR(严重的安全问题!)。
<
同样,大多数 Mac(和 PC)用户无需过分担心这些安全漏洞,并且可能无需通过禁用超线程来完全缓解漏洞。只需安装 macOS Mojave 10.14.5 和适用于 High Sierra 和/或的相关安全更新 2019-003 Sierra 有助于为大多数 Mac 用户规避潜在风险。与往常一样,确保永远不要安装任何粗略或不受信任的软件,因为这也应该有很大帮助,因为几乎所有这些类型的漏洞都依赖于某种形式的恶意软件首先扎根。