关于 CPU 推测执行漏洞，您须要知道这些

推测执行 (speculative execution) 是当今主流处理器（包括 AMD、ARM 和 Intel）中普遍采用的一项优化技术。其基本思路是利用处理器的空闲时间提早执行一些未来 “可能用得上，但也可能被放弃” 的计算（包括分支预测、预读内存和文件数据），从而极大提高系统的总体运行速度。然而咱们发现这项优化技术可能存在漏洞，进而威胁用户数据安全。本文将为你们介绍事件脉络，并阐述咱们至今为保护你们的数据安全所作的努力和成果。

背景

去年，咱们的 Project Zero 团队发现了由 “推测执行” 引发的严重安全漏洞，这是大多数现代处理器 (CPU) 用来优化性能的技术。

Project Zero 的研究人员 Jann Horn 展现了一些可能的进攻场景：恶意行为者能够利用推测执行来读取本应没法被访问的系统内存。例如，未经受权方可能会读取系统内存中的敏感信息，如密码、加密密钥或是在应用中打开的敏感信息。测试还代表，在虚拟机上运行的攻击可以访问主机的物理内存，并经过这种方式得到同一物理主机上其余虚拟机的内存读取权限。

这些漏洞会影响许多 CPU，包括来自 AMD、ARM 和 Intel 的 CPU，以及运行在其上的设备和操做系统。

在得知了这个新的攻击类型后，咱们的安全和产品开发团队便当即行动起来，捍卫 Google 的系统安全和用户数据。咱们已经更新了受影响的系统和产品，以阻止这种新型的攻击。咱们还与整个行业内的硬件和软件制造商合做，帮助保护用户和更广义的网络安全。这些努力包括协做分析和开发全新的应对方法。

因为现有的公开报道以及新闻和安全研究领域对这个问题的猜想愈来愈多，这可能会致使这种新型的攻击方法被更多人恶意利用，所以咱们没有在原定计划的 2018 年 1 月 9 日，而是提早了一些时间进行发布（本文原文在 2018 年 1 月 3 日发表于 Google Security Blog，本文结尾处有完整连接）。

Google 产品的应对状态

下面咱们列出了受影响的 Google 产品列表及其对此攻击的应对状态。因为这是一种新的攻击类型，咱们的补丁状态指的是咱们为防范目前已知的缺陷和进攻方式所采起的措施。这些措施已经在不少产品中起到了显著效果（甚至某些产品中从一开始就不存在推测执行漏洞）。在某些状况下，用户和客户可能须要采起额外的操做步骤来确保他们使用的是安全的产品版本。这个列表和其中的产品状态可能会随着新的进展而变化。届时咱们也会更新这个列表，并告知你们。

如下未明确列出的 全部Google 产品都不须要用户或客户进行操做。

Android：

• 拥有最新安全更新的设备已受保护。虽然这个漏洞可能形成基于 ARM 的 Android 设备信息泄露，但在咱们的更新后未发现这个漏洞再次出现。

• 安装了最新安全更新的受支持的 Nexus 和 Pixel 设备已受保护。

• 更多信息请见

Google Apps / G Suite ( Gmail, Calendar, Drive, Site 等 ) :

• 无需额外的用户或客户操做。

Google Chrome：

• 一些用户或客户须要采起操做。更多信息请见

Google Chrome OS ( 如 Chromebook ) :

• 须要一些额外的用户或客户操做。更多信息请见

Google Cloud Platform：

• Google App Engine：无需额外的客户操做。

• Google Compute Engine：须要一些额外的客户操做。更多信息请见

• Google Kubernetes 引擎：须要一些额外的客户操做。更多信息请见：

• Google Cloud Dataflow：须要一些额外的客户操做。更多信息请见

• Google Cloud Dataproc：须要一些额外的客户操做。更多信息请见

• 全部其余 Google Cloud 产品和服务：无需其余操做。

Google Home / Chromecast：

• 无需额外的用户操做。

Google Wifi / OnHub：

• 无需额外的用户操做。

漏洞的攻击方法及对策

要利用此漏洞，攻击者首先必须可以在目标系统上运行恶意代码。

Project Zero 的研究人员发现了三种在不一样条件下有效的攻击方法（即 “变种” ）。全部这三种攻击方式均可以容许拥有普通用户权限的进程执行未经受权的内存数据读取，这些数据可能包含密码、密钥资料等敏感信息。

为了提升系统的运行性能，许多 CPU 可能会选择基于被认为可能成立的假设来推测性地提早执行指令。在推测执行期间，处理器也会验证这些假设：若是它们成立，则继续以前执行的操做；若是它们不成立，则回滚以前执行的操做，并根据实际状况转向正确的执行路径。这种运行机制可能存在分支解除时没有回滚 CPU 状态而产生反作用，而且致使信息泄露。

对于三个攻击变种没有单一的解决方案：每一个变种都须要独立的保护措施。许多供应商都提供了补丁，可用于应对一种或多种的此类攻击。

咱们将继续应对此漏洞，并会在发布进一步措施时更新咱们的产品支持页面。同时，感谢全部合做伙伴和 Google 工程师，在过去几个月里不知疲倦地为咱们的用户和客户提供了安全支持。

> 本文的英文原连接

> Project Zero 关于此漏洞的完整报告请使用以下连接查看

> Google 针对此漏洞的全部产品应对状态清单请使用以下连接查看

但愿这篇文章能够帮助您了解到您在使用 Google 工具及服务面对漏洞时的状态及应对举措。若是您还有与此相关的疑惑及问题， 欢迎在咱们的公众平台留言，咱们将收集有表明性的问题，请 Google 工程师作出解答，并会在下一期的 “Android 开发者 FAQ” 专题文章中统一回复你们。