软件与服务行业重大事件快评：INTEL处理器曝高危漏洞系统补丁将大幅降低运行速度

事项：

昨日，外媒发表文章，指出Intel处理器存在芯片级高危漏洞，恶意程序可以利用此漏洞，绕开目前操作系统的防护，直接访问系统内核及其他系统区域，控制操作系统，获取用户信息。该漏洞已经存在多年，涉及Intel 近年来发布的所有处理器，且漏洞存在于芯片底层，无法通过Microcode 方式修复，而必须在操作系统层面进行修复。然而，目前的修复方案会带来严重的性能问题，Intel 处理器的性能恐下降5%-30%。

评论：

预测技术，Intel 成也萧何败也萧何

为了提高处理效率，当代处理器内嵌有预测技术：通过预测下一条指令，处理器可以填满内部流水线，充分发挥运作效率。Intel 的推测执行（Speculative Execution）技术是业界标杆水平，行业内所有公司都在向Intel 靠拢，但是这个漏洞说明Intel 的推测性执行在芯片内部的访存执行单元Load/Store Unit 和重排序缓冲区ROB 上存在安全检查漏洞，导致操作系统核心的安全保护出现问题，使得用户程序可以窥测内核数据，包括系统访问历史记录，密码等等隐私，同时会造成KASLR（Kernel Address Space Layout Randomization，内核位址空间布局随机化）的无效化，导致攻击者可以推断出内核地址，进而发动攻击控制控制整个系统，造成严重的安全风险。受影响用户包括服务器环境、PC环境和移动环境。

在Linux 的源代码和邮件列表中显示，一开始的补丁也囊括了AMD CPU，但是AMD 公司的工程师主动进行了修正，声明AMD 的处理器不受影响并且要求取消了对AMD的补丁，目前这个补丁仅在Intel CPU 上生效。

操作系统厂商纷纷发布补丁尝试修复此漏洞，但补丁会对性能造成严重影响

本次漏洞无法在芯片层面得到修复，修复只能在操作系统层面进行（或重新购买CPU）。微软预计本周四会推送补丁，且补丁已经包含在去年年底的Windows Insider 版本中。苹果的MacOS 也未能幸免，需要进行相应的修补工作。

本次补丁的主要功能是通过KPTI（Kernel Page Table Isolation）完全分离系统内核与用户内存，让系统使用另外一个分区表，使得用户程序无法访问系统内核。但是，KPTI 会导致CPU 频繁地从内核模式切换到用户模式，引发耗时的TLB缓存刷新，拉低系统效能。根据初步测试，Intel CPU效能会降低5%-30%，相当于回退1~2代。举例来说，第八代的酷睿CPU打上补丁后的效能可能低于同档次的第七代的酷睿CPU。

Intel 善后花费巨大

综合专家看法，我们认为，研发方面，Intel 修复本漏洞需要组织工程师Review 几十万行RTL 源码来确认问题所在，而发现问题后的问题解决过程将耗费更多的人力物力：我们预计Intel至少需要花费几个月的时间才能提出可行的解决方案，并做完初步测试，而采用新方案的芯片的性能将会是一个未知数；商务方面，Intel 需要安抚各大客户的情绪，特别是采购了大量Intel CPU的云厂商，以防新增订单向AMD的转移，同时，对于已有的服务器设备，Intel 需要与厂商一起研发解决方案堵住漏洞；品牌形象方面，Intel 的高端形象无疑会遭受重创，建立品牌认知将花费较长的时间。

2016 年，Intel 花费了127 亿美元用于研发。假设其中10%用于CPU 研发，本次漏洞造成Intel CPU性能的回退至少给Intel 带来了12.7 亿美元的损失（相当于研发产生的性能提升被抹掉），而整体的善后成本在考虑修复成本、商务成本、品牌重建、市场竞争等因素后或将超过25 亿美元。

云厂商面临巨大压力，云服务成本或有较大提升

本次的漏洞会影响所有的云厂商，包括但是不限于Amazon、Microsoft、Google 等巨头。云厂商只要使用Intel CPU，就需要通过补丁进行系统加固。然而，由于云平台应用了大量的虚拟化技术，这些补丁比针对个人电脑的补丁更为复杂，由于云厂商的服务器拥有极高的数据吞吐，补丁对服务器系统效能的影响会比对PC更为严重。

Microsoft Azure 将于1月10 日进行维护和重启，据称跟本漏洞有关；AWS 也发送了通知邮件声称本周五将进行重大安全更新。让人担心的是，已经有迹象表明有黑客在利用本漏洞攻击云系统。我们认为短期来看，云厂商的服务成本或有较大提升。

利好非Intel 的芯片和主机厂商，A股公司中科曙光最大利好，华胜天成和浪潮信息也将受益

AMD 的处理器不受本漏洞影响。我们预测，本次事件过后，会有越来越多的云厂商/服务器厂商选用非Intel 处理器，同属X86 架构的AMD 处理器迁移成本最低，受益显著。同时基于长期的潜在影响，ARM架构、Power 架构的处理器和主机也将受益。

A 股公司中，中科曙光的子公司天津海光获得ARM的服务器CPU技术授权，在即将推出国产服务器X86 架构CPU 的情况下，有望在国内市场获得更大的市场机会和潜力，受益明显，维持买入评级。

此外，Power 系列主机也将受益。华胜天成子公司星云东方的Top 系列产品是同IBM Power 系列深度合作的产品，将受益于此次事件。而浪潮信息在2017 年同IBM成立合资公司，生产Power 系列服务器，也将受益于此次事件，维持华胜天成和浪潮信息的增持评级。

行情