Intel漏洞门最详尽评测!修复过于流畅Bug
2018年年初,Intel突然投下一颗震撼弹,CPU被确认包含严重的安全漏洞。由Intel开始各家CPU厂商均被卷入,甚至连NVIDIA都宣布更新显卡驱动来修补相关漏洞。
由于这次的漏洞事件波及甚广,且具有很强的攻击能力,所以从软件到操作系统,甚至CPU固件都必须更新。
现在修补措施大致到了初步完善的程度,所以针对现有的修补措施对漏洞门带来的影响做一次较为详细的测试。
-漏洞的分类:这次的漏洞门产生了Meltdown(熔断)和Spectre(幽灵)两个主要的漏洞分支。
-影响的厂商:Intel(1995年起几乎全线的产品)、AMD、ARM的CPU大都不同程度地受到波及,NVIDIA也宣称显卡需要更新驱动。
-漏洞的危害:漏洞门会导致专门设计的病毒软件可以直接读取设备内存中的任何部分,所有的系统内核保护和安全软件的沙盒都会直接失效。
-漏洞的修补:漏洞的修补大致上可以分为四个部分,浏览器内核更新、系统补丁安装、CPU微码升级(刷BIOS)、显卡驱动更新(NV)
-漏洞修补的分级:浏览器和系统补丁等软件更新主要是针对“熔断”;CPU微码和显卡驱动主要是针对“幽灵”。
-修补的后果:修补后会明显降低CPU的性能,按照CPU的迭代,越是古老的产品受到的影响越明显。CPU的日常使用功耗会明显上升。
-修复效果的确认:GRC上发布的软件“inspectre”能够在一定程度上帮助大家快速诊断漏洞修复的程度,显示绿色的“NO”即代表对相应的漏洞可以免疫。
首先说一下软件的修补进度,目前浏览器和操作系统均提供了针对性的更新,下文中就不再反复提及。
-波及程度:Intel是波及程度最深的(因为是乱序执行最坚定的拥趸),“熔断”和“幽灵”均中招。
-修补方式:需要针对浏览器内核更新、系统补丁安装、CPU微码升级(刷BIOS)进行全部更新。
-BIOS进度:目前115X主流级别,从第六代及以上会有BIOS更新;X系列,从X99平台及以上会有BIOS更新。需要注意各家主板厂商的BIOS修复进度并不相同,甚至会出现BIOS中部分微码更新并不到位的情况。
同时做软件和BIOS修复的情况下,对性能的影响是最大的。目前针对Intel部分我这边的测试数据比较齐全,所以就详细分解一下。需要备注的是无论是什么修复方式,磁盘性能都会明显受到影响,这边主要讨论的是实际使用的性能变化。
第八代酷睿:八代酷睿通过超频L2较好的抵消了性能损失,总体变化相对较小。
第六、七代:在只进行软件修复的情况下,性能损失并不明显。缓存的补偿较少,所以软硬件同时修补的情况下,多核性能有较为明显的性能损失。
第四、五代:目前并没有BIOS放出,只针对软件更新的线K为例,满载转码的性能损失在8%左右。预计第四、五代产品的影响会大于 第六、七代的产品。
更早产品:由于缓存机制上第四代起有较大的更新,所以预计单纯软件修补也会带来较为显著的性能损失。(微软官方的说法用户可以明显感知到的性能损失)
进行修复之后CPU的负载会比以前更高,相应功耗会增大。尤其是在办公、看片、上网等场景变化尤其明显。第八代酷睿主要是依靠超频L2来抵消修复的性能损失,所以在低负载场景下,功耗最高会提升30%。
由于本次漏洞门中JS代码比较容易受到攻击,预计浏览器会是主要的受攻击媒介。所以无论什么情况下,都必须更新浏览器,国产浏览器用户建议用回相 应内核的官方浏览器(国产浏览器内核更新肯定很渣)。
建议第六代及更新的CPU用户应更新微软的系统补丁,这样对性能损失并不会太显著。BIOS建议不要更新。
第四、五代的CPU用户,更新补丁预计满载性能下降较大,但安全起见还是建议更新。BIOS现在暂时没有上,想更新也更新不了。
更早产品的用户,预计CPU性能影响更大,是不是更新系统补丁我表示很蛋疼。但是无论如何,浏览器都必须使用最新版内核,不然会死的很惨。
目前Intel的CPU微码被认定会导致电脑出现死机重启的状况,DELL、HP、华擎都已经宣布下架相关的BIOS。如果BIOS更新后出现相关状况,建议尝试回滚BIOS版本。
即使是拿到了CPU微码,还是不建议大家自行修改BIOS进行更新,可能会产生额外的BUG。
由于部分厂商对Intel微码做了回滚撤回处理,所以不排除后续Intel更新微码后,性能再次出现变化的可能性。
目前Intel又让微软再次发布了屏蔽Intel BIOS漏洞修复补丁的补丁(真TM绕),相比系统补丁方式屏蔽,个人还是更加建议大家直接回滚BIOS。
-修补方式:需要针对浏览器内核更新、系统补丁安装、CPU微码升级(刷BIOS)进行全部更新。
-BIOS进度:目前AMD已经宣布提供微码给主板厂商,但暂时还没有看到具体的BIOS更新。
-性能变化:由于BIOS暂未发布,所以实际的性能影响未知。但从各方的消息来看,影响程度应小于Intel。
-修复建议:目前的话只要针对浏览器和操作系统进行更新即可,主板BIOS还需要等待。
-注意事项:微软第一版的系统补丁对AMD较早的CPU产品(速龙、皓龙等)支持会有问题,导致微软收回第一版补丁。目前只要是微软自动更新的补丁都可以正常使用,建议下载离线包的话要注意确认补丁代号。
-修复建议:目前的话只要针对浏览器和操作系统进行更新即可,主板BIOS还需要等待。
由于目前只有Intel有完整的修补方案,所以暂时先针对Intel来测试。AMD的部分需要等BIOS放出后再来测试。
这次测试主要用到的i3-8100和i5-7500,可以较好地7覆盖到目前BIOS更新较完善的6、7、8三代产品的变化。
SSD是三块Intel,系统盘用的是比较主流的535,以保证测试更接近一般用户。240G用作系统盘,480G*2主要是拿来放测试游戏。游戏越来越多,只能加SSD了。
本文测试会分为简略结论和详细测试两个部分,由于补丁测试的个体项目差异会很明显,里面会有很多有意思的东西。所以还是建议大家还是应该去看详细测试数据。
测试数据中结合了我以前漏洞门测试的文章,所以测试数据会有五列。其中会以i3-8100初始状态作为对比基准。
- i3-8100未升级测试(初始状态,包含完整测试数据,作为测试基准)
- i5-7500系统升级测试(系统补丁安装但BIOS未更新,仅包含CPU部分测试数据)
对于有兴趣进一步了解对比性能的童鞋,这边会提供详细的测试数据。如果不想看的话可以直接跳到最后的总结部分。
- CPU性能测试:包含系统带宽、CPU理论性能、CPU基准测试软件、CPU渲染测试软件、3DMARK物理得分
测试表格说明,为了帮大家跟好的甄别,所以这边我会把性能缩水比较明显的项目用颜色标出来。8100对比组黄色是性能差距4%,红色是性能差距10%。7500上,考虑到原生7500相比8100性能会有1~2%的差异,所以7500的标示上会相应压缩1%,黄色是性能差距3%,红色是性能差距9%。
系统带宽测试,内存带宽上,漏洞修补带来的变化很小。缓存带宽上分化则显而易见。8100明显在L2上有比较大的提升,平均超过10%。而7500在L2和L3上都出现了一定成都的下滑,尤其是L2的读取和L3的复制变化尤其明显。
CPU理论性能测试,是用AIDA64的内置工具进行的,可以测试很多CPU的基本性能。8100和7500在这个项目上表现都比较稳定,理论性能均平均提升0.25%。
CPU性能测试,主要测试一些常用的CPU基准测试软件,还会包括一些应用软件和游戏中的CPU测试项目。这个项目的测试总体比较杂,更接近于一般使用环境。
最为显眼的莫过于PCMARK 8测试,7500的显而易见,8100则在ADOBE这一项上有较大的缩水。
另外由于两颗CPU在缓存优化的策略上有差异,所以7-ZIP和WINRAR的性能差异明显拉大(8100略微提升,7500略微降低)。
CPU渲染测试,测试的是CPU的渲染能力。CineBench三个版本测试,8100在R10的OPENGL测试中表现尤其不好,R11上多线则在三个版本的多线程测试中均出现了明显的性能下滑,且版本越新情况越严重。
3D物理性能测试,测试的是3DMARK测试中的物理得分,这些主要与CPU有关。8100总体表现尚数平稳,仅ICE EX这一项下滑比较大。而7500则呈之势,整体表现相当不好。
CPU综合统计来说8100整体的受影响程度较小,变化不大。7500则随着负载的增加,性能逐步递减,这也印证了Intel关于漏洞门对低负载影响较少的论述。从漏洞修补的角度来看,7500的性能影响主要源于BIOS的更新,系统补丁影响较小。
集显3D基准测试,主要是跑一些基准测试软件,与理论性能测试,集显性能基本不受影响。受CPU性能影响最大的ICE测试中,7500的表现比较糟糕。
集显专业软件基准测试,专业软件部分以SPEC viewperf 12为基准测试,两者总体变化都不是很大,不过7500有一项下滑达到了5%。
独显3D基准测试,主要是跑一些基准测试软件,总体上性能影响较小,不过可以明显看到不同的测试项目性能变化比较大,有相当多的项目出现了较明显的性能下滑。但3DMARK的X分,CATZILLA的4K有明显提升。
独显3D游戏测试,表格中将DX9~DX12不同世代的游戏进行了分类,这样会更加清晰一些。
8100的游戏性能变化比较杂,27款游戏中有11款出现显而易见的性能下滑,而尘埃拉力赛和中土世界战争之影则逆势提升10%左右。
7500的游戏性能测试表现比8100还是要更弱一些(考虑到原生性能略高),27款游戏中有7款出现显而易见的下滑,所以可见7500的整体下滑更为平均。
按照API世代来分解,从前面测试中就可以发现如果是取平均数,性能下滑幅度不会特别明显。相对而言,这次的补丁对DX11游戏相对友好,DX9和DX12游戏下滑幅度会显而易见。
总体来说读取受影响的程度会比写入略好一点。8100在SATA SSD的测试中性能表现尚数正常,但是NVME的测试中,读写的4K深队列都严重下滑,不足原来的60%,浅队列的4K写入也有30%的下滑。
7500的状况就更差了,SATA的部分就能看到很严重的下滑。NVME的测试则与8100的情况相对来说比较接近。
从测试结果来看八代酷睿经过,总体性能变化并不会很大,而七代则会明显一些。
八代酷睿的功耗提升显而易见,对于散热选择比较紧张的人,应该要考虑一下散热问题。8600K及以上的CPU建议主板至少需要七相供电。
至于漏洞门的性能测试要出到第几篇才是大结局?2017的CPU盘点何时能做?我也很绝望啊!
上一篇:怎样解三星i9300网络锁 解开三星i9300网络锁的具体办法