Nul
Video: Intel ‘ s patches til Spectre variant 4 vil bremse din CPU
Spectre, og Nedsmeltning er mere end en ny klasse af sikkerhedshuller. De er dybt indlejret i det grundlæggende design af de seneste generationer af Cpu ‘ er. Så det burde ikke komme som nogen overraskelse, at endnu en stor Intel chip sikkerhedsproblem er blevet opdaget: Forløbere.
Også: Genfærd og Nedsmeltning: Usikkerhed i hjertet af det moderne CPU design
Ifølge de forskere, der har fundet det, “Forløbere er en spekulativ udførelse angreb på Intel-processorer, som gør det muligt for en hacker at stjæle følsomme oplysninger, der er gemt inde i personlige computere eller tredje part skyer. Forløbere er to versioner, den oprindelige angreb designet til at udtrække data fra Software Guard Udvidelser (SGX) enklaver og en Næste-Generation-version, som påvirker Virtuelle Maskiner (Fos), hypervisors (VMM), operating system (OPERATIVSYSTEM) kernehukommelse, og System Management Mode (SMM) hukommelse.”
I et ord, det betyder: “Problemer”. Ironisk nok, SGX beskyttet af kode og data fra offentliggørelse, ændring eller angreb.
Så hvor slemt er det egentlig? Dårlig. Intel indrømmer, at det Forventes af bugs kan bruges til at skabe:
Ondsindede programmer, som kan være i stand til at udlede data i det operativsystem, hukommelse, eller data fra andre programmer.En ondsindet gæst virtual machine (VM) kan udlede data i VM ‘ s hukommelse, eller data i hukommelsen af andre gæst Fos.Ondsindet software, der kører uden for SMM kan udlede data i SMM hukommelse.Ondsindet software, der kører uden for en Intel SGX enklave eller inden for en enklave kan udlede data fra en anden Intel SGX enklave.
Eller, som Jens Yarom, en forsker ved University of Adelaide, en af de forskere, der opdagede Forløbere, tweeted, SGX sikkerhedshul kan føre til en “Fuldstændig kollaps af SGX økosystem.”
Også: Sådan Nedsmeltning og Spectre sikkerhedshuller rettelser vil påvirke dig
Jon Masters, Red Hat ARM Computer Arkitekt, tilføjede, at Forløbere “er en væsentlig trussel mod virtualiserede miljøer, især dem, der indeholder en blanding af tillid og ikke tillid til virtuelle maskiner.”
Intel blev anmeldt af den første fejl på Jan. 3, 2018. Intel og derefter identificeret to nært beslægtede varianter, Forløbere-Næste Generation (NG). Intel kalder hele denne nye klasse af spekulative udførelse side kanal sårbarheder “Terminal L1 Fejl” (L1TF).
Alt dette udspringer af Intel ‘ s ønske om at gøre chips til at køre effektivt hurtigere. For at gøre dette, Intel, sammen med ARM og AMD, brug en blanding af pipelining, out-of-order execution, branch prediction, og spekulative udførelse til at køre den næste gren af et program, før det hedder på. På denne måde, er der ingen tid er spildt, hvis din ansøgning går ad denne vej. Desværre, chip-producenter’ performance implementeringer kom med grundlæggende sikkerhedshuller.
Ifølge Intel, for at udnytte Forløbere, angriberen skal have mulighed for at køre kode på målrettede systemer. Ikke desto mindre, CVE-2018-3615, der rammer på SGX, har en Common Vulnerability Scoring System (CVSS) Base Score på 7.9, der er rangeret som meget farligt. De andre huller omfatter CVE-2018-3620, som påvirker operativsystemer og System Management Mode (SMM), der kører på Intel-processorer har en CVSS af 7.1, og CVE-2018-3646, som påvirker virtualisering software og Virtuelle Maskine Skærme (VMM), der kører på Intel-processorer og har en CVSS af 7.1. Alle disse scores er høje nok til, at de kræver, at du skal lappe disse huller så hurtigt som muligt.
Også: Google, Microsoft finde et andet Spøgelse, Nedsmeltning fejl CNET
Den gode nyhed er, at Intel ‘ s Leslie Culbertson, Intel VP og general manager for Produkt-Sikkerhed og Sikkerhed, har sagt, “jeg vil tale til afbødning af spørgsmål lige op foran: Mikrokoden opdateringer (mcu’ er) har vi udgivet tidligere dette år, er en vigtig del af afbødning strategi for alle tre anvendelser af L1TF.”
Men, og det er en stor en, mikrokode opdatering af sig selv er ikke nok. Du skal også opdatere dit operativsystem og VM hypervisor til at være sikker. Plastrene er nu tilgængelige for de fleste operativsystemer.
Intel hævder, at for det meste, vil du ikke se problemer med ydeevnen fra disse rettelser… for det meste. Hvis, dog, du kører VMs uden rettelser, på toppen af platforme med plastrene, vil du se nogle afmatning. Dette er, også som Mestre påpeget, hvor Forløbere er de mest farlige.
På plus side, der er ingen, der har set et angreb i naturen… endnu.
Red Hat anbefaler kraftigt at afhjælpe problemet, skal du manuelt aktivere Linux-specifikke kerne-parametre eller potentielt skadelige funktioner som Intel hyperthreading, efter tilgængelige opdateringer har været anvendt.
Det er drastiske. Oracle ‘ s bibliotek af sikkerhed, Eric Maurice, advarer deaktivere hyperthreading alene ikke er tilstrækkelig til at afbøde alle Forventes af sårbarheder, samtidig med at deaktivere HT vil resultere i en betydelig forringelse af ydeevnen.
Også: Security pros: Få klar til patch til 8 nye Spectre huller TechRepublic
På en sky eller datacenter med flere unpatched VMs-som er temmelig meget på dem alle i dag — du kunne have skadelig VMs udspionerer oplysninger inde i en anden VM. Der er både en teknologisk og juridisk mareridt. Derfor performance hit og alle, du kan overveje at deaktivere hyperthreading.
Den virkelige løse alle disse problemer, Intel indrømmer, er ved at erstatte nutidens processorer. “Disse ændringer begynder med vores næste generations Intel Xeon-Skalerbar-processorer (med kodenavnet Cascade-Søen), så godt som ny kunde processorer, der forventes at lancere senere i år.”
I mellemtiden, holde patching og holde et vågent øje med balancen mellem sikkerhed og ydeevne. Vi er langt fra færdig endnu med Spøgelse, Nedsmeltning, og Forventes klasse af problemer.
Relaterede historier:
Returnering af SpectreSpectre chip sikkerhedsbrist slår til igen; patches incomingIntel: Genfærd-bevis Cpu ‘ er vil skib i anden halvdel af 2018
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre
0