推測執行 （speculative execution） 是當今主流處理器（包括 AMD、ARM 和 Intel）中廣泛采用的一項優化技術。其基本思路是利用處理器的空閑時間提前執行一些將來 “可能用得上，但也可能被放棄” 的計算（包括分支預測、預讀內存和文件數據），從而極大提升系統的整體運行速度。然而我們發現這項優化技術可能存在漏洞，進而威脅用戶數據安全。本文米貿搜谷歌推廣將為大家介紹事件脈絡，并闡述我們至今為保護大家的數據安全所做的努力和成果。

背景

去年，我們的 Project Zero 團隊發現了由 “推測執行” 引起的嚴重安全漏洞，這是大多數現代處理器 （CPU） 用來優化性能的技術。

Project Zero 的研究人員 Jann Horn 展示了一些可能的進攻場景：惡意行為者可以利用推測執行來讀取本應無法被訪問的系統內存。例如，未經授權方可能會讀取系統內存中的敏感信息，如密碼、加密密鑰或是在應用中打開的敏感信息。測試還表明，在虛擬機上運行的攻擊能夠訪問主機的物理內存，并通過這種方式獲得同一物理主機上其他虛擬機的內存讀取權限。

這些漏洞會影響許多 CPU，包括來自 AMD、ARM 和 Intel 的 CPU，以及運行在其上的設備和操作系統。

在得知了這個新的攻擊類型后，我們的安全和產品開發團隊便立即行動起來，捍衛 Google 的系統安全和用戶數據。我們已經更新了受影響的系統和產品，以阻止這種新型的攻擊。我們還與整個行業內的硬件和軟件制造商合作，幫助保護用戶和更廣義的網絡安全。這些努力包括協作分析和開發全新的應對方法。

由于現有的公開報道以及新聞和安全研究領域對這個問題的猜測越來越多，這可能會導致這種新型的攻擊方法被更多人惡意利用，因此我們沒有在原定計劃的 2018 年 1 月 9 日，而是提前了一些時間進行發布（本文原文在 2018 年 1 月 3 日發表于 Google Security Blog，本文結尾處有完整鏈接）。

Google 產品的應對狀態

下面我們列出了受影響的 Google 產品列表及其對此攻擊的應對狀態。由于這是一種新的攻擊類型，我們的補丁狀態指的是我們為防范目前已知的缺陷和進攻方式所采取的措施。這些措施已經在很多產品中起到了顯著效果（甚至某些產品中從一開始就不存在推測執行漏洞）。在某些情況下，用戶和客戶可能需要采取額外的操作步驟來確保他們使用的是安全的產品版本。這個列表和其中的產品狀態可能會隨著新的進展而變化。屆時我們也會更新這個列表，并告知大家。

以下未明確列出的 所有 Google 產品都不需要用戶或客戶進行操作。

Android：

1.擁有最新安全更新的設備已受保護。雖然這個漏洞可能造成基于 ARM 的 Android 設備信息泄露，但在我們的更新后未發現這個漏洞再次出現。

2.安裝了最新安全更新的受支持的 Nexus 和 Pixel 設備已受保護。

3.更多信息請見：

https://support.google.com/faqs/answer/7622138#android

Google Apps / G Suite （ Gmail, Calendar, Drive, Site 等 ） ：

1.無需額外的用戶或客戶操作。

Google Chrome：

1.一些用戶或客戶需要采取操作。更多信息請見：https://support.google.com/faqs/answer/7622138#chrome

Google Chrome OS （ 如 Chromebook ） :

1.需要一些額外的用戶或客戶操作。更多信息請見：https://support.google.com/faqs/answer/7622138#chromeos

Google Cloud Platform：

1.Google App Engine：無需額外的客戶操作。

2.Google Compute Engine：需要一些額外的客戶操作。更多信息請見：https://support.google.com/faqs/answer/7622138#gce

3.Google Kubernetes 引擎：需要一些額外的客戶操作。更多信息請見：https://support.google.com/faqs/answer/7622138#gke

4.Google Cloud Dataflow：需要一些額外的客戶操作。更多信息請見：https://support.google.com/faqs/answer/7622138#clouddataflow

5.Google Cloud Dataproc：需要一些額外的客戶操作。更多信息請見：https://support.google.com/faqs/answer/7622138#clouddataproc

6.所有其他 Google Cloud 產品和服務：無需其他操作。

Google Home / Chromecast：

1.無需額外的用戶操作。

Google Wifi / OnHub：

1.無需額外的用戶操作。

漏洞的攻擊方法及對策

要利用此漏洞，攻擊者首先必須能夠在目標系統上運行惡意代碼。

Project Zero 的研究人員發現了三種在不同條件下有效的攻擊方法（即 “變種” ）。所有這三種攻擊方式都可以允許擁有普通用戶權限的進程執行未經授權的內存數據讀取，這些數據可能包含密碼、密鑰資料等敏感信息。

為了提高系統的運行性能，許多 CPU 可能會選擇基于被認為可能成立的假設來推測性地提前執行指令。在推測執行期間，處理器也會驗證這些假設：如果它們成立，則繼續之前執行的操作；如果它們不成立，則回滾之前執行的操作，并根據實際情況轉向正確的執行路徑。這種運行機制可能存在分支解除時沒有回滾 CPU 狀態而產生副作用，并且導致信息泄露。

對于三個攻擊變種沒有單一的解決方案：每個變種都需要獨立的保護措施。許多供應商都提供了補丁，可用于應對一種或多種的此類攻擊。

我們將繼續應對此漏洞，并會在發布進一步措施時更新我們的產品支持頁面。同時，感謝所有合作伙伴和 Google 工程師，在過去幾個月里不知疲倦地為我們的用戶和客戶提供了安全支持。