Ubuntu 决定禁用 Intel Compute Runtime 驱动程序中的部分安全防护措施,这些措施原本用于防范 GPU 级别的 Spectre 漏洞。通过关闭这些防护机制,系统性能将获得提升。 Ubuntu 母公司 Canonical 与英特尔的安全团队经过协商后共同认定,在 Intel Compute Runtime 驱动中实施针对 Spectre 漏洞的 GPU 级防护已无必要。 Canonical 表示,Spectre 漏洞已在内核层面得到缓解,因此驱动程序中相关安全措施带来的性能损失已超过其防护价值。据称此项调整可使性能提升最高达 20% 。
Canonical 承认移除防护措施可能存在未知攻击途径的风险。值得注意的是,英特尔通过 GitHub 分发的 Compute Runtime 驱动早已取消这些防护机制,至今未出现已知漏洞利用案例。但 Canonical 特别指出,英特尔的构建采用静态链接方式——即将特定库直接编译进最终程序,而非在程序运行时从操作系统的共享库中动态加载,且软件打包方式也存在差异。
Spectre 漏洞于 2018 年初曝光,允许攻击者读取内核及其他进程的内存数据。
https://bugs.launchpad.net/ubuntu/+source/intel-compute-runtime/+bug/2110131
