SM明微系列產品:SM2097E SM2092ESM2202PSM2316E SM2082KSM2318ESM2135E SM2123E SM2212EA
SM2213EA SM2200/3P SM2087 SM2315E SM2083 SM2086 SM2082C SM2082D SM2082G大量原裝正品現貨。
SM2318E是一款高功率因數LED線性恒流驅動芯片,支持可控硅調光,調光過程多段LED燈可實現同亮同滅,亮度均可變化。
芯片內部集成維持電流電路,可控硅調光應用無需外部維持電流,提高系統效率和LED光效。
芯片集成過溫保護等功能,提升系統應用可靠性。
特點:
1.輸入電壓110Vac或220Vac
2.恒流精度小于士5%
3.功率因數大于0.98
4.THD小于15%
5.內置過溫保護
6.支持可控硅調光,可實現多段LED燈同亮同滅
7.封裝形式:ESOP-8
應用領域:
1.LED恒流驅動
2.LED球泡燈
3.LED吸頂燈
既然敏感數據已經被提取至CPU核心內部可以參與臨時計算,那么就可以用它作為存儲器訪問的路標k,把內存中的第k塊數據裝入緩存。這大概要花費上百個時鐘周期也就是大約幾十納秒,這個時間處在亂序執行允許的窗口范圍內,如果窗口范圍不夠大了,還可以用其他手段再把這個窗口拉大一些。但終歸到最后,亂序執行的指令要走到提交檢查的一步,CPU檢查發現這個敏感數據被訪問了,就會把對應指令的結果拋掉,k的值被扔掉以后,惡意代碼就無法讀取到k的值了。而這里遺漏了關鍵的一點,在亂序執行中被裝入緩存的內存第k塊數據,并沒有被清理。于是后繼代碼就可以大大方方地把相關內存地址都掃一遍,放在緩存里面的數據的訪問延遲與放在內存里面的數據是不同的,如果掃描到第10塊內存的時候發現它的響應速度特別快,就可以確定先前被讀取上來的k值是10。
另一個幽靈漏洞的原理與此類似,但利用的是推測執行(主要是分支預測)的指令,從執行到進行安全檢查之間的時間差,在推測執1行狀態下,利用此時觸發權限違例不會被立即掐死的特點,執行一些惡意代碼把敏感數據裝入CPU寄存器參與臨時計算,隨后用這個敏感數據制作一個內存地址裝入緩存,再觸發隨后的時間差分攻擊。
效果與防護
熔毀和幽靈利用亂序執行和推測執行,繞過了權限檢查等安全措施,可以訪問操作系統內核乃至其他程序的內容。其中熔毀更容易觸發利用,因此才有大家已經看到的盜取瀏覽器密碼的實例,而幽靈漏洞需要受攻擊目標程序的分支入口點結構滿足一定條件才能觸發,難度相對較大,因此網上還沒有發現基于幽靈漏洞的信息泄露實例出來。需要指出的是,幽靈和熔毀漏洞都只能讀取敏感信息,不能修改(因為亂序執行/推測執行狀態下的修改在未通過檢查時一定會被拋棄),算是不幸中的萬幸。
由于攻擊的是硬件漏洞,因此目前市面所有主流操作系統,包括windows,linux,Mac OS都處在攻擊范圍內,隔離程度不夠高的眾多半虛擬化方案,Docker,LXC等,也在受影響范圍,因此這個漏洞將極大地影響云計算服務提供商。目前Google,Amazon,國內的阿里,騰訊等大型云服務提供商都已宣布了補丁計劃。
從業界廠商的角度看,盡管Intel,AMD,ARM各有說辭[7][8][9],但從專業從業人士的角度看,Intel妥妥地同時受到熔毀和幽靈兩個漏洞影響,而AMD和ARM在熔毀漏洞面前也只是暫時安全,熔毀的攻擊原理也適用于AMD和ARM,只是因為分支預測器結構不同、流水線長度較短導致可利用的時間窗口不大等等因素,才沒有像Intel一樣被熔毀攻破。而幽靈則針對分支預測器進行注入攻擊,目前所有廠商的分支預測器部分都沒有做比較好的安全防護,因此Intel和ARM,AMD都會受到影響,而且分支預測器為了提高性能,天生就設計成部分地址哈希進行模糊匹配的模式,使得相關防御措施很難在不傷害性能的情況下修補漏洞。
針對熔毀漏洞,目前已有的技術手段主要是通過軟件層次將內核頁表與用戶頁表盡可能地隔離,這種技術的一個實現方案叫KAISER,其變種已經被各大操作系統采用作為熔毀漏洞的臨時補救措施。這種技術方案會提高用戶態與內核態的切換開銷,快速系統調用的初步測試證明,內核系統調用的速度降低到了原先的42%,而利用現代處理器的PCID特性進行優化后,能夠恢復到57%的水平[9]。具體的應用程序下降幅度取決于用戶程序與內核交互的頻繁程度,linxu kernel開發人員的測試結果從10%~20%+不等,PCID能夠彌補大約5%-7%的性能。
針對幽靈漏洞,目前沒有很好的防御方式,linux的發行版之一suse最近公開的一個安全更新顯示[10],AMD和Intel已經向相關OS廠商推送了一個微碼更新,這個微碼更新會關閉分支預測來暫時封堵幽靈漏洞。由于分支預測對性能影響巨大,即便分支預測只被關閉一部分也很容易造成性能衰退二代左右的幅度,如果整個分支預測器都被關閉,CPU性能將退回2000年以前的水平。對于這個更新是否將被應用,相關從業人士正在持續跟進關注。
下面是來自NGA用戶kprismk的一個比喻。注意這是比喻,省略了大量細節:
