為了充分保護自己免受潛在的Zombieload攻擊，供應(yīng)商和早期基準測試表明，您將面臨高達40%的性能損失。英特爾芯片Zombieload安全漏洞有多糟糕?這取決于你問誰。但潛力是嚴重的，攻擊者可以監(jiān)視你的數(shù)據(jù)。是的，修復(fù)程序已經(jīng)存在，但即使使用操作系統(tǒng)補丁的新微碼，為了完全保護您的系統(tǒng)免受潛在的Zombieload攻擊，您必須關(guān)閉Intel CPU超線程。如果您不希望計算機以一腳踩的方式運行，則不希望關(guān)閉超線程。但是，如果沒有超線程，您的系統(tǒng)是否安全?英特爾認為你會好的。但那么，還有什么呢?其他公司不同意。

Canonical，Ubuntu Linux背后的公司，建議禁用超線程- 如果系統(tǒng)用于執(zhí)行不受信任或潛在的惡意代碼。當然，沒有人意味著運行這樣的代碼，但是如果你在云上，則無法控制下一個虛擬機(VM)中的鄰居正在運行的內(nèi)容。Red Hat同意Zombieload在云上尤其危險。

正如云安全公司Twistlock的首席技術(shù)官John Morello所說，“這個漏洞可能對密集的，多租戶的公共云提供商產(chǎn)生最大的影響。在單用戶環(huán)境中，它的興趣遠沒那么大。”

盡管如此，Apple和Google都警告他們的MacOS和Chrome OS用戶可能希望禁用超線程來獲得全面保護。事實上，谷歌現(xiàn)在默認從Chrome OS74開始禁用超線程。

因此，如果您想真正保護您的系統(tǒng) - 虛擬或物理 - 您必須關(guān)閉超線程。這是一個糟糕的性價比。

即使英特爾承認，禁用超線程也會使CPU性能降低9%。蘋果公司已經(jīng)發(fā)現(xiàn)，通過包括多線程工作負載和公共基準測試在內(nèi)的測試，性能將降低Mac的速度“降低40%。”Zombieload的研究人員表示同意。他們表示，關(guān)閉超線程會使“某些工作負載的性能下降30%至40%”。

其他基準測試也顯示完全保護自己免受Zombieload攻擊將導(dǎo)致你的速度占很大比例。

多少?Linux基準測試站點Phoronix使用其最新的穩(wěn)定版本和修補后的Linux 5.0內(nèi)核測試了Ubuntu 19.04上的工作負載，而新的英特爾CPU微碼圖像發(fā)現(xiàn)Linux - 迄今為止最重要的云操作系統(tǒng) - 遭遇了嚴重的性能問題。其測試的幾何平均值顯示，“現(xiàn)在這些默認緩解措施的開箱即用性能降低了16%”。

當您關(guān)閉超線程以獲得最大安全性時，通常情況會更糟。在PostgreSQL的基準，例如，發(fā)現(xiàn)幾乎40%的一個表演停止性能下降。與此同時，Ngnix基準測試的性能受到了約34%的痛苦。

那么，你應(yīng)該一直保護你的服務(wù)器嗎?英特爾表示，“實際利用MDS [微架構(gòu)數(shù)據(jù)采樣，又稱Zombieload]是一項非常復(fù)雜的工作.MDS本身不會為攻擊者提供一種選擇泄露數(shù)據(jù)的方法。”

至于我，它可能很復(fù)雜，但是已經(jīng)有了漏洞的全部細節(jié)，以及概念驗證代碼，只有時間才有人制作一個易于使用的攻擊程序。所以，我已經(jīng)在我的基于云的服務(wù)器上禁用了超線程。我建議你也這樣做。