如何在 Mac 上启用 MDS / Zombieload 的完全缓解

处于特别强大的对抗性威胁环境中的高级 Mac 用户可能会觉得有必要在他们的 Mac 计算机（以及与此相关的 PC）上启用对 Intel MDS 处理器漏洞的全面缓解。MDS 代表微架构数据采样 (MDS)，通俗地称为“Zombieload”，基本上是实际英特尔处理器本身的一个漏洞，理论上可能导致攻击者访问任何受影响的英特尔计算机、Mac 或 PC 上的敏感数据。（如果您密切关注安全新闻，Zombieload 漏洞有点像去年的 Spectre 和 Meltdown 安全漏洞）。

虽然 Apple 已经为 macOS Mojave 10.14.5 和 High Sierra 和 Sierra 的安全更新 2019-003 应用了安全补丁，这应该有助于防止大多数 Mac 用户遇到麻烦，但在异常高的安全风险环境中操作的其他 Mac 用户可能会觉得有必要去进一步并启用对 MDS / Zombieload 的全面缓解。

为 Intel MDS 漏洞启用全面缓解涉及禁用 CPU 本身的超线程，这可能导致机器性能降低大约 40%。这显然是一个相当严重的性能损失，因此绝大多数人不应该为此烦恼，因为绝大多数人也不会处于安全威胁环境中，这会使他们面临成为此类漏洞目标的风险。

尽管如此，如果您特别担心配备 Intel CPU 的 Mac 上的 Zombieload / MDS 攻击向量，我们将在下面讨论如何启用对攻击的全面缓解。

如何在 Intel Mac 上启用对 Zombieload / MDS 的全面缓解

请记住，要在 Mac 上启用 MDS / Zombieload 的完全匹配，您必须禁用 CPU 超线程，这会导致严重的性能损失。绝大多数 Mac 用户不应该为此烦恼。

请注意，Mac 必须运行 MacOS Mojave、macSO Sierra、MacOS High Sierra 或更新版本。

1. 首先，在 Mac 上安装 MacOS Mojave 10.14.5，或 High Sierra 的安全更新 2019，或 Sierra 的安全更新 2019（或更高版本）
2. 转到  Apple 菜单并选择“重新启动”以重新启动 Mac
3. 重新启动时立即按住 Command+R 以将 Mac 引导至恢复模式
4. 当您进入实用程序屏幕时，下拉菜单栏中的“实用程序”菜单并选择“终端”
5. 输入以下命令，然后回车

nvram boot-args="cwae=2"

6. 接下来键入以下命令，然后再次按回车键：

nvram SMTDisable=%01

7. 转到  Apple 菜单并选择“重新启动”以重新启动 Mac

这些全面缓解的说明直接来自 Apple。

如何在 Mac 上恢复完整的 MDS 缓解和启用超线程

如果您想恢复 Zombieload / MDS 的完全缓解并在 CPU 上重新启用超线程，您将需要重置 Mac NVRAM / PRAM 以清除在完全缓解中所做的定义的 nvram 更改。这在所有 Mac 机型上都是一样的：

• 关闭 Mac
• 打开 Mac，然后立即同时按住 COMMAND OPTION PR 键
• 同时按住 COMMAND OPTION PR 键约 20 秒，然后松开
• 听到第二声开机提示音（在播放开机声音的 Mac 上）或看到 Apple 标志后（配备 T2 芯片的 Mac）松开按键

Mac 现在将像往常一样启动，并重置 NVRAM，再次启用超线程，并且不再对 MDS 进行全面缓解。

如果不确定设置的内容，还可以在 Mac 上从命令行查看 NVRAM 变量。

请注意，如果您使用固件密码，您可能需要暂时关闭它才能有效地重置 NVRAM。

到底什么是 MDS / Zombieload？

有关 MDS / Zombieload 以及缓解过程的更多背景信息，您可能希望参考 Apple 的支持文章，其中描述了 MDS 风险和完全缓解，如下所示：

英特尔披露了称为微架构数据采样 (MDS) 的漏洞，该漏洞适用于采用英特尔 CPU 的台式机和笔记本电脑，包括所有现代 Mac 电脑。

尽管在撰写本文时还没有影响客户的已知漏洞，但认为自己的计算机面临更高攻击风险的客户可以使用终端应用程序启用额外的 CPU 指令并禁用超线程处理技术，从而提供全面保护这些安全问题。

此选项适用于 macOS Mojave、High Sierra 和 Sierra，可能会对您的计算机性能产生重大影响。

此外，启用全面缓解涉及禁用 Intel CPU 上的超线程，这会显着降低性能。Apple 对此的描述如下：

包括禁用超线程在内的全面缓解措施可防止跨线程以及在内核和用户空间之间转换时发生信息泄漏，这与本地和远程（Web）攻击的 MDS 漏洞相关。

Apple 于 2019 年 5 月进行的测试表明，在包含多线程工作负载和公共基准测试的测试中，性能降低了 40%。性能测试是使用特定的 Mac 计算机进行的。实际结果将因型号、配置、使用情况和其他因素而异

您可能还有兴趣在 Intel.com 上直接从英特尔阅读更多关于微架构数据采样 (MDS) 的信息。

关于 Zombieload / MDS 的另一个信息来源是官方 Zombieload 攻击披露网站 here，由发现安全漏洞的研究人员创建。下面这些安全研究人员的视频演示了 Zombieload 攻击被用来从目标机器收集信息，尽管使用了包含在虚拟机中的 TOR（严重的安全问题！）。

同样，大多数 Mac（和 PC）用户不需要过分担心这些安全漏洞，并且可能不需要通过禁用超线程来完全缓解。只需安装 macOS Mojave 10.14.5 和适用于 High Sierra 和/或 Sierra 的相关安全更新 2019-003 即可帮助大多数 Mac 用户规避潜在风险。和往常一样，确保永远不要安装任何粗略或不受信任的软件，因为这也应该有很大帮助，因为几乎所有这些类型的漏洞都依赖于某种形式的恶意软件首先扎根。