Noll
Microsoft är inklusive Googles begränsning för Spectre Variant 2 spekulativ exekvering sida-kanal attack i nästa utgåva av Windows-10, som för närvarande kodnamnet 19H1.
En av de stora bekymmer om Härdsmälta och Spectre CPU-fel-bortsett från angripare som utnyttjar dem — har varit att åtgärder för att attackerna skulle kunna ha en allvarlig påverkan på prestanda, allt mellan fem och 30 procent.
Denna oro var störst för Intels mikrokod begränsande faktorer för Spectre variant 2, CVE – 2017-5715, en “branch target injektion’ fel.
Intels dem direkt ändra hur maskinvara spekulativt utför. Dessa är Indirekt Filial Begränsas Spekulation (IBRS) och Indirekta Gren Prediktor Barriär (IBPB), som båda kan ha en negativ inverkan CPU-prestanda.
Google har utvecklat en programvara baserad begränsning för Spectre Variant 2 kallas Retpoline som begränsar spekulativ exekvering beteende tillräckligt för att mildra en attack. Googles tester fann sin fix haft en försumbar effekt på prestanda.
SE: It-säkerhet i ett sakernas internet och mobila världen (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Retpoline genomfördes av Linux-distributioner som Red Hat och SUSE, liksom av Oracle för Oracle Linux 6 och 7.
Och nu, som MSPoweruser fläckig, Microsofts kärna ingenjörer har bekräftat att Retpoline kommer att vara en del av nästa version av Windows 10, 19H1 som är på gång nästa år.
Googles Retpoline plus Microsofts egen kernel ändringar har reducerat påverkan på prestanda för “brus-nivå”, enligt Mehmet Iyigun av Microsoft Windows och Azure kärngrupp.
“Ja, vi har aktiverat Retpoline som standard i våra 19H1 flygningar tillsammans med vad vi kallar ‘import optimering” för att ytterligare minska perf effekt på grund av indirekta samtal i kernel-läge. I kombination kan dessa minska perf effekterna av Spectre v2 begränsande faktorer för buller-nivå för de flesta scenarier,” skrev Iyigun.
Den dåliga nyheten är att Microsoft inte inkluderar Retpoline fixa i den senaste Windows-10 oktober 2018 Redstone Update 5, eller RS5, släppa, trots att det enligt CrowdStrike forskaren Alex Ionescu, det kunde ha.
Ionescu upptäckte Retpoline närvaro i 19H1 med hjälp av ett verktyg som han utvecklade som kallas SpecuCheck, ett Windows-verktyg som IT-administratörer kan använda för att kontrollera status för maskinvara och programvara som begränsande faktorer för Härdsmälta, Spectre och andra spekulativa-utförande sida-kanal brister, såsom Spekulativ Butik Bypass, och L1TF eller “Peka på” attacker.
Iyigun bekräftelse var ett svar till en tweet av Ionescu att påpeka att Windows 10 för närvarande inte fullt minska Spectre Variant 2 attacker.
“Om du inte har lappat Intel mikrokod med IBRS stöd, eller om du är på AMD Zen-processorer, Windows inte fullt mildra mot Spectre v2 tills 19H1, även om RS5 har allt som behövs för att aktivera detta,” skrev Ionescu.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Som han konstaterar, på system utan IBRS, Windows kommer inte att spola BIOS parameter block, eller BPB, om kernel-läge till användarläge övergångar.
“På system utan IBRS, Windows kommer inte att spola BPB om kernel->user övergångar. Detta öppnar upp för ett potentiellt säkerhetsproblem för Processorer utan mikrokod som implementerar IBRS”, förklarar han i en tråd.
“Detta är troligen på grund av det faktum att IBPB (mitigation) är 2-3x långsammare än IBRS, så resultatet hit skulle göra många gemensamma scenarier obehagliga, och som skulle vara ännu värre på servern scenarier”, skrev Ionescu i en serie tweets.
Ionescu sprang också ett filsystem som riktmärke på en Surface Pro 4 med Windows 19H1 installerat och såg en “stor förbättring” i överföringshastighet. Tillägg av Retpoline kommer att gynna system med antingen IBRS eller IBPB.
“Retpoline är aktiverat även på system som bara har IBPB, vilket innebär att dessa system är slutligen skyddas mot Spectre v2 även om kernel->user övergångar vs det aktuella läget (utan skydd). IBRS system under tiden kommer se ett liknande uppsving,” forskaren noteras.
Men Ionescu har även krävt att Microsoft är tillbaka-port Retpoline begränsning eftersom maskiner utan IBRS “är i grund och botten sitting ducks”.
Tidigare och relaterade täckning
Intel diken Linux patch riktmärke ‘skämt’ erbjuder ‘ofarlig’ ny licens
Intels licens för sin mikrokod korrigeringar inte längre hindrar utvecklare från att publicera resultaten.
Intel ‘skämt’ Linux-distributioner från att avslöja prestanda hit från Spectre fläckar
Du kan testa prestanda efter att använda vår fläckar, men inte publicera resultaten, säger Intels nya licensvillkor.
Nya Spectre variant 4: Vår fläckar orsaka upp till 8% prestanda hit, varnar Intel
Intels Spectre variant 4 patch kommer att vara avstängd som standard, men användarna som slår på den kommer sannolikt att se sämre prestanda.
Linux resultat före och efter Kollapsen och Spectre fixar
De lappar, som väntat tog Linux prestanda ner, men effekterna har inte varit så illa som befarat.
Oracles senaste Linux fixar: Nya Spectre, Lat FPU fläckar nötkött upp försvar
Oracle har nya korrigeringar som finns för Spectre brister som påverkar Linux-system på Intel-och AMD-chips.
Spectre chip säkerhetsproblem slår till igen; fläckar inkommande
En Google-utvecklare upptäckt ett nytt sätt att ett ‘Spöke’-style in kan användas för att attackera en dator som kör operativsystemet.
8 nya “Spectre-klass’ brister i Intel-Processorer om att vara utsatt?
Rapporter är nya i åtta nya “Spectre-klass” säkerhet CPU sårbarheter.
Ex-Intel säkerhetsexpert: Denna nya Spectre attack kan även avslöja firmware hemligheter
En ny variant av Spectre kan avslöja innehållet i minnet som normalt inte kan nås av OS-kärnan.
Microsoft att Windows-användare: Här är nya kritiska Intel säkerhetsuppdateringar för Spectre v2
Microsoft släpper nya uppdateringar för att åtgärda Spectre variant 2 fel som påverkar Intel-kretsar.
Windows 10 på AMD? Denna nya uppdatering plus Microsofts patch block Spectre attacker
AMD har släppt uppdateringar mikrokod för Spectre variant 2 som kräver Microsofts senaste Windows-10 plåster.
Intel: Vi har nu kommer inte någonsin patch Spectre variant 2 fel i dessa marker
En handfull av CPU familjer som Intel var på grund av att patchen kommer nu alltid att förbli sårbar.
Windows 7 Härdsmälta patch öppnar värre sårbarhet: Installera Mars uppdateringar nu
Microsofts Härdsmälta fixa öppnade ett gapande hål i Windows 7 säkerhet, varnar forskare.
Intels nya Spectre fix: Skylake, Kaby Sjön, Eller Sjön chips få stabil mikrokod
Intel gör framsteg på återutgivning stabil uppdateringar mikrokod mot den Hotande angrepp.
Fick en gammal DATOR? Ta reda på om du kommer att få Intels senaste Spectre patch TechRepublic
Intel har listat ett urval av Processorer som släpptes mellan 2007 och 2011 och som inte kommer att få en uppdatering av fast programvara för att hjälpa till att skydda mot Spectre-relaterade utnyttjar.
Grupptalan passar över Intel Spectre, Härdsmälta brister ökning CNET
Sedan början av 2018, och antalet fall har ökat från tre till 32.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0