谷歌本周聲稱(chēng)，公司為緩解1月3日披露的Spectre和Meltdown微處理器漏洞造成的廣泛威脅而采取的緩解措施對其云服務(wù)的性能影響不大。

一位Google高管在1月11日的更新中說(shuō)，其中一項修復實(shí)際上是如此有效，該公司已將該更新的代碼移至開(kāi)源，以便其他人可以從中受益。

谷歌與幾家學(xué)術(shù)機構的研究人員上周一起揭示了英特爾，ARM和Advanced Micro Devices的大多數現代處理器使用的性能優(yōu)化技術(shù)存在三個(gè)嚴重缺陷。

所謂的Spectre和Meltdown漏洞存在于非常廣泛的計算機系統中，它們使新型的“推測執行”攻擊成為可能，威脅攻擊者可以讀取存儲在系統內存中的私有數據(例如密碼和加密密鑰)。其中的兩個(gè)漏洞合稱(chēng)為Spectre，而第三個(gè)則是Meltdown。

包括英特爾，微軟，谷歌，亞馬遜和蘋(píng)果在內的多家供應商已發(fā)布更新，以緩解其產(chǎn)品中的“幽靈”和“崩潰”漏洞帶來(lái)的威脅。安全研究人員警告說(shuō)，這些修復程序會(huì )大大降低系統性能，但是鑒于這三個(gè)漏洞構成的威脅的嚴重性，無(wú)論如何都需要實(shí)施這些修復程序。

谷歌開(kāi)始為熔毀的缺陷(初始部署緩解CVE-2017-5754)和幽靈的缺陷之一(CVE-2017-5753)，橫跨基礎設施配套的核心服務(wù)，包括搜索，Gmail和它的云計算平臺去年九月。

Google的24x7支持小組的Google副總裁Benjamin Treynor在1月11日的博客中說(shuō)，它在10月用更永久的補丁程序更新了這些補丁，而不會(huì )對其服務(wù)造成任何明顯的性能影響。

但是事實(shí)證明，一個(gè)幽靈漏洞(CVE-2017-5715)很難緩解。Treynor說(shuō)，幾個(gè)月來(lái)，唯一的選擇似乎是在運行Google的云基礎架構的CPU上禁用某些關(guān)鍵功能(稱(chēng)為推測執行)。

他說(shuō)，盡管這項措施行之有效，但也將導致整個(gè)Google應用程序和硬件堆棧的性能?chē)乐叵陆?。Treynor指出：“取消這些緩解措施將對許多客戶(hù)產(chǎn)生負面影響。”

根據Treynor的說(shuō)法，谷歌針對該問(wèn)題的緩解措施(該公司將其稱(chēng)為Retpoline)提供了解決此問(wèn)題的方法。他將Retpoline描述為一種“新穎的軟件二進(jìn)制修改技術(shù)”，從而消除了在受影響的CPU中禁用推測執行功能的需求。“相反，此解決方案修改了程序以確保攻擊者不會(huì )影響執行。”

開(kāi)發(fā)Retpoline的Google軟件工程師Paul Turner在另一個(gè)博客中說(shuō)，了解 Retpoline的工作原理的一種簡(jiǎn)單方法是“將投機執行想象為一個(gè)精力充沛的7歲孩子，我們現在必須在周?chē)⒈拇矀}庫”。

Treynor說(shuō)，對Retpoline的廣泛測試表明，它可以防止Spectre缺陷，而性能損失很小。他聲稱(chēng)，在12月Google在其系統上部署更新的整個(gè)過(guò)程中，該公司未從客戶(hù)那里收到任何有關(guān)性能問(wèn)題的法規遵從報告。這已經(jīng)證實(shí)Google初步評估了Retpoline是針對現有硬件上特定Spectre問(wèn)題的最有效的緩解技術(shù)。

Google已將Retpoline的編譯器實(shí)現發(fā)布給開(kāi)源，以便其他人也可以使用它。Treynor說(shuō)：“在公開(kāi)分享我們的研究成果時(shí)，我們希望可以將其廣泛部署以改善整個(gè)行業(yè)的云體驗。”