Noll
Video: Intels patchar för Spectre variant 4 kommer att bromsa din CPU
Spectre och Härdsmälta är mer än en ny klass av säkerhetshål. De är djupt inbäddade i den grundläggande utformningen av de senaste generationerna av Processorer. Så det borde inte komma som någon överraskning att ännu en stor Intel chip säkerhetsproblem har upptäckts: Peka på.
Också: Spectre och Härdsmälta: Otrygghet i hjärtat av modern CPU design
Enligt forskarna som hittade på det, “Peka på är en spekulativ exekvering attack på Intel-processorer, vilket gör det möjligt för en angripare att stjäla känslig information som lagras i datorer eller tredje part moln. Peka på har två versioner, den ursprungliga attack utformad för att extrahera data från Programvara Vakt Extensions (SGX) enklaver och en Nästa Generations version som påverkar Virtuella Maskiner (VMs), hypervisors (VMM), operativsystem (OS) kernel-minne, och System Management-Läge (SMM) minne.”
Med ett ord, som betyder: “Problem.” Ironiskt nog, SGX skyddad kod och data från avslöjande, modifiering, eller attackera.
Så, hur illa är det egentligen? Dåligt. Intel medger Peka på buggar kan användas för att skapa:
Skadliga program, som kan vara kan härleda uppgifterna i operativsystemet minne, eller data från andra program.En skadlig gäst virtuell maskin (VM) kan sluta sig till att data i VM-minnet eller data som finns i minnet av andra gäst VMs.Skadlig programvara som körs utanför SMM kan sluta sig till att data i SMM minne.Skadlig programvara som körs utanför en Intel SGX enklav eller inom en enklav kan sluta sig till att uppgifter från en annan Intel SGX enklav.
Eller, som Yuval Yarom, som är forskarassistent vid Universitetet i Adelaide, en av forskarna som upptäckte Peka på, twittrat, SGX säkerhetshål kan leda till en total kollaps av SGX ekosystem.”
Dessutom: Hur Härdsmälta och Spectre säkerhetshål korrigeringar kommer att påverka dig
Jon Masters, Red Hat ARM Dator Arkitekt, tillade att Peka på “är ett betydande hot för virtualiserade miljöer, särskilt de som innehåller en blandning av pålitliga och opålitliga virtuella maskiner.”
Intel var anmälda för det första felet på Jan. 3, 2018. Intel identifierade sedan två närbesläktade varianter, Peka på-Nästa Generation (NG). Intel kallar detta helt ny klass av spekulativ exekvering sidan kanalen sårbarheter “L1 Terminal Fel” (L1TF).
Detta alla källor från Intel: s önskan att göra chips köra effektivt snabbare. För att göra detta, Intel, tillsammans med ARM-och AMD, använda en blandning av pipelining, out-of-order execution, hoppgissning, och spekulativ exekvering för att köra nästa gren av ett program innan det heter. På detta sätt, ingen tid går till spillo om din ansökan går den vägen. Tyvärr, chip beslutsfattare resultat implementationer kom med grundläggande säkerhetsbrister.
Enligt Intel, för att utnyttja Peka på angriparen måste ha förmåga att köra kod på riktade system. Ändå, CVE-2018-3615, som träffar på SGX, har en Gemensam Sårbarhet Scoring System (CVSS) Bas Betyg 7,9 som är rankad som mycket farliga. De andra hålen innehåller CVE-2018-3620, vilket påverkar operativsystem och systemhantering Läge (SMM) som körs på Intel-processorer har en CVSS av 7.1, och CVE-2018-3646, vilket påverkar virtualisering och Virtuella Maskinen Skärmar (VMM) som körs på Intel-processorer och har en CVSS av 7.1. Alla dessa poäng är tillräckligt hög för att de kräver att du måste patch dessa hål så snart som möjligt.
Också: Google, Microsoft att hitta ett annat Spöke, Härdsmälta fel CNET
Den goda nyheten är, Intels Leslie Culbertson, Intel VP och general manager för Produkten Säkerhet och Trygghet, har sagt att “jag kommer att ta itu med den begränsning frågan rakt ut: uppdateringar Mikrokod (Mcu) vi släppte tidigare i år är en viktig del av riskreducerande strategi för samtliga tre tillämpningar av L1TF.”
Men, och det är en stor en, mikrokod uppdatering av sig själv är inte tillräckligt. Du måste också uppdatera ditt operativsystem och VM-övervakare för att vara säker. Plåstren finns nu tillgängliga för de flesta operativsystem.
Intel hävdar att för det mesta kommer du inte att se problem med prestanda från dessa korrigeringar… för det mesta. Men om du kör VMs utan korrigeringar, på toppen av plattformarna med fläckar, kommer du att se en viss avmattning. Detta är också Mästare påpekade, där Peka på är den farligaste.
På plus-sidan, ingen har sett en attack i det vilda… ännu.
Red Hat rekommenderar starkt att minska problemet, att du manuellt aktivera Linux-specifika parametrar till kärnan eller kan inaktivera funktioner som Intels hyperthreading, efter tillgängliga uppdateringar har installerats.
Det är drastiska. Oracles katalog av säkerhet försäkra, Eric Maurice, varnar för att inaktivera hyperthreading ensam är otillräcklig för att lindra alla Peka på svagheter, samtidigt som avaktivera HT kommer att resultera i prestandaminskning.
Även: Säkerhet fördelar: gör dig redo att patch för 8 nya Spectre hål TechRepublic
På ett moln eller ett datacenter med flera datorer VMs-vilket är ganska mycket alla av dem idag-du kan ha skadliga VMs spionerar på information i en VM. Det är både en teknisk och juridisk mardröm scenario. Därför, prestanda och alla, du kanske vill överväga att inaktivera hyperthreading.
Den verkliga fixa till alla dessa problem, Intel medger, är att ersätta dagens processorer. “Dessa förändringar börjar med vårt nästa generations Intel Xeon Skalbar-processorer (med kodnamnet Cascade-Sjön), samt som ny kund processorer väntas lansera senare i år.”
Under tiden fortsätta lappa och hålla ett öga på balansen mellan säkerhet och prestanda. Vi är långt ifrån klar ännu med Spectre, Härdsmälta, och Peka klass av problem.
Relaterade artiklar:
Avkastningen av SpectreSpectre chip säkerhetsproblem slår till igen; fläckar incomingIntel: Spectre-bevis-Processorer kommer att levereras under andra halvåret 2018
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0