如何針對 Microarchitectural Data Sampling (MDS) 漏洞啟用完整緩解措施

此選項在 macOS Mojave、High Sierra 及 Sierra 安裝安全性更新後提供。

Intel 已公佈名為 Microarchitectural Data Sampling (MDS) 的漏洞。這些漏洞會影響使用 Intel CPU 的桌面和筆記型電腦，包括所有近期的 Mac 電腦。

撰寫本文時未有任何已知漏洞會影響客戶，但如果客戶相信其電腦很大機會成為攻擊目標，可以使用「終端機」app 啟用額外 CPU 指示及停用超執行緒 (hyper-threading) 處理技術，全面防止這些安全性問題發生。

雖然 macOS Mojave、High Sierra 及 Sierra 均提供此選項，但可能會嚴重影響電腦的效能。

停用超執行緒對效能的影響

完整緩解措施包括停用超執行緒技術，防止因本機和遙距 (網絡) 的 MDS 漏洞攻擊，而導致執行緒及由核心切換到用戶空間時洩漏資料。

根據 Apple 於 2019 年 5 月進行的測試，多執行緒工作量及公開基準測試均顯示效能下降了 40%。效能測試在特定的 Mac 電腦上進行。實際結果會視乎型號、設定、使用情況等其他因素而有所不同。

如何在 macOS 中針對 MDS 啟用完整緩解措施

如要在安裝安全性更新後啟用 MDS 的完整緩解措施，請從「macOS 還原」啟動 Mac，然後在「終端機」app 中輸入指令。

1. 開啟或重新啟動 Mac，並立即按住鍵盤上的 Command (⌘)-R 或其他「macOS 復原」按鍵組合。

2. 在選單列的「工具程式」選單中，選擇「終端機」。

3. 在「終端機」提示字元後輸入以下兩個指令，每次一個。每輸入一個指令後按下 Return 鍵。

   nvram boot-args="cwae=2"

   nvram SMTDisable=%01

4. 在 Apple 選單  中，選擇「重新啟動」。

如何回復緩解措施及重新啟用超執行緒

如要回復緩解措施及重新啟用超執行緒處理技術，請重設 NVRAM 並重新啟動 Mac。

如果你曾設定自訂 boot-args，便需要在 nvram 指令中加入那些 boot-args。

如何檢查 macOS 內的超執行緒狀態

安裝安全性更新後，你可以在「系統資料」app 中檢查超執行緒是否已啟用。

請選擇 Apple 選單  > 「關於此 Mac」，然後按一下「系統報告」按鈕。然後在側欄中選擇「硬件」。如果 Mac 的處理器支援超執行緒，「超執行緒技術」會顯示為「已啟用」或「已停用」。