作者：Leslie Culbertson是英特尔公司执行副总裁兼产品保障与安全部门总经理。

在今年1月，谷歌Project Zero 团队（GPZ）*披露了基于预测执行的侧信道分析方法之后，英特尔一直持续与业界研究人员合作，以了解类似的方法是否会被用于其他领域。我们知道，在一个可预测的周期内通常会出现新型的安全漏洞，包括原始安全漏洞的新变体。

具体到侧信道攻击的漏洞也不例外，我们今年初采取的其中一个措施是加大漏洞报告赏金计划，支持并加速发现新的方法来识别漏洞。这项计划获得的反响令人鼓舞，我们感谢一直以来安全研究社区与我们的紧密合作。

更多信息请参阅：安全隐患与英特尔产品（新闻资料）及最新安全研究结果及英特尔产品说明（Intel.cn）

作为这项持续工作的一部分，针对影响我们和其他芯片制造商的原始漏洞新变体，今天英特尔和行业合作伙伴公布了相关细节和防御信息。新的变体被称为变体4，由GPZ和微软安全响应中心（MSRC）联合公布*。

秉承英特尔誓保安全第一的精神，我希望解释一下这个新变体是什么，以及用户如何保护自己。首先，我想说的是，我们还没有看到任何有关于这种方法被利用的报告。而且，针对潜在漏洞，用户和IT专业人士有多种方法可保护自己的系统，包括目前已经部署并可用的基于浏览器的防御措施。

关于变体4

就像其他GPZ变体，变体4使用了预测执行（大多数现代处理器架构所普遍采用的功能），可能通过侧信道而暴露特定类型的数据。在这种情况下，研究人员在基于语言的运行时环境中演示了变体4。虽然我们没有看到利用浏览器成功攻击的漏洞例子，但运行时最常见方式是使用网页浏览器，如JavaScript。

从1月份开始，大多数主要浏览器厂商在其管理的运行时中，部署了变体1的防御措施，大大增加了在网络浏览器中利用侧信道的难度。这些防御措施也适用于变体4，目前已经可供用户使用。然而，为了确保我们提供全面防御措施并防止这种方法用在其他方面，我们和行业合作伙伴正在为变体4提供额外的防御，其中结合了微代码和软件更新。

我们已经向OEM系统制造商和系统软件提供商提供了针对变体4的测试版微代码更新，预计未来几周将用于生产BIOS和软件更新。这个防御措施会被设置为默认关闭，让用户选择是否启用。我们预计大多数行业软件合作伙伴会采用默认关闭选项。在默认关闭配置下，我们没有观测到对性能有任何影响。如果启用，根据客户端1和服务器2测试系统上的SYSmark® 2014 SE和SPEC整数率等基准测试整体得分，我们观察到有大约2-8%的性能影响。

该更新还包括针对Arm*在1月公开记录的变体3a（恶意系统注册器读取）的微代码。对于变体3a的防御措施，我们在客户端或服务器基准测试中尚未观察到任何有意义的性能影响3。我们已经把这两个微代码更新捆绑到一起，以便为行业合作伙伴和客户简化流程。我们意识到更加可预测且整合的更新流程将对整个生态系统有所帮助，因而我们会继续这种做法。

在我们的产品安全中心页面，我们提供了有关受影响的英特尔产品的更多信息，以及白皮书和其他资源，帮助IT专业人士评估其环境的风险级别。此外，我们更新了安全第一网站，列出了最新的常见问题，以帮助任何需要更多信息的人。与以往一样，我继续鼓励大家保持系统更新到最新状态，因为这是确保您始终拥有最新防护措施的最简单的方法之一。

我和英特尔每个人工作的重中之重，依然是保护我们用户的数据并确保产品的安全性。对侧信道安全方法的研究将会继续，同样，我们将会继续与行业合作伙伴合作，为客户提供所需的保护。事实上，我们相信，我们将能够针对任何未来侧信道问题为英特尔产品开发防御方法。

我谨代表整个英特尔团队，感谢行业合作伙伴和客户的持续支持。

+++

1 客户端测量是基于英特尔内部参考平台和一个第八代智能英特尔® 酷睿™ 台式机处理器。具体而言，观察到的性能影响根据SYSmark 2014 SE整体得分是4%，根据SPECint_rate_base2006（n copy）整体得分是2%，根据SPECint_rate_base2006（1 copy）整体得分是8%。

2 服务器测量是基于英特尔内部参考平台和一个英特尔® 至强®处理器可扩展系列（之前的Skylake）处理器。具体而言，观察到的性能影响根据SPECint_rate_base2006（n copy）整体得分是3%，根据SPECint_rate_base2006（1 copy）整体得分是8%。

3 0-1%的性能影响