为了你的PC安全，你愿意付出多大程度努力？

大多数有安全意识的人都明白，降低风险这件事会涉及到某种权衡。比如，为了降低风险，可能需要牺牲你的便利、花费更多的钱、甚至损害你的系统性能。

然而，很多Linux用户还没有为Spectre v2（Spectre variant 2 ：Spectre变种2）漏洞修补程序做好准备。Spectre v2中的一个漏洞补丁可降低英特尔处理器，高达50％的性能，是今年内所有安装Spectre/Meltdown 修补程式中效能跌幅最大的一次。

Spectre(幽灵）是一个影响执行分支预测的现代微处理器的漏洞。在大多数处理器上，由分支错误预测导致的推测性执行可能会留下可观察到的副作用，这些副作用可能会向攻击者泄露私人数据。在2018年3月15日，英特尔报告它将重新设计其CPU（性能损失有待确定），以帮助防范Spectre和相关的Meltdown漏洞（特别是Spectre v2和Meltdown）。

科技网站Phoronix 的测试发现，在几乎所有低中高端英特尔处理器上，最新测试版内核 Linux 4.20 的表现比最新稳定版 4.19 有显著的下降，而 AMD 的处理器不受影响。

有问题的补丁是在Linux 4.20内核中发布的。Linux 4.20 更新将支持多线程处理器，并默认启用STIBP（ Single Thread Indirect Branch Predictors：单线程间接分支预测器）缓解功能。

这可以防止基于Spectre v2漏洞的攻击，但在这些CPU更新时，也会影响启用了启用了Hyper-Threading 超线程的Intel 处理器的性能。

补充：STIBP只是英特尔添加的三个Spectre v2缓解中的一个，其中还包括间接分支限制性推测（IBRS）和间接分支预测器屏障（IBPB）。

针对此事，Linux创建者Linus Torvalds表示非常惊讶，他表示自己在讨论列表中居然没有看到任何关于会影响性能的字眼。

他补充称，当某些载荷的性能下降50％时，人们需要开始问自己是否值得使用缓解措施。Torvalds还表示，那些真正关心安全的人会完全禁用SMT。

这意味着最新Linux内核默认启用缓解功能，会损失高达50%的性能。但大多数人的电脑却并没有因此而降低风险，或得到任何好处。

因此，Torvalds决定为下一版Linux for Intel系统提出了解决方案：“我认为我们应该使用与L1TF相同的逻辑：我们默认那些不会扼杀性能的东西。”或许可以吸引大多数用户。

英特尔研究员Arjan van de Ven在一份回复中表示，“在文档中，AMD正式默认建议不要这样做，而且我可以代表英特尔说我们的立场也是这样：默认情况下一定不能开启。”

参考来源：

• tomshardware

• oschina

往期热门资讯：                                        

公众号ID：ikanxue官方微博：看雪安全

商务合作：wsc@kanxue.com