Nul
Microsoft is waaronder Google ‘ s oplossing van de Spook-Variant 2 speculatieve uitvoering side-channel attack in de volgende release van Windows 10, momenteel de codenaam 19H1.
Een van de grote zorgen over de Crisis en de Spectre CPU-onvolkomenheden — afgezien van de aanvallers misbruik van hen — is dat oplossingen voor de aanvallen kunnen ernstige gevolgen hebben voor de prestaties, variërend tussen de vijf en 30 procent.
Die zorg was het grootst voor Intel ‘ s van de microcode oplossingen voor Spook-variant 2, CVE – 2017-5715, een ‘branch target injectie’ fout.
Intel ‘ s oplossingen direct wijzigen hoe de hardware speculatively uitgevoerd. Dit zijn de Indirecte Tak Beperkt Speculatie (IBRS) en Indirecte Tak Voorspeller Barrière (IBPB), die beide een negatieve invloed kunnen hebben op de prestaties van de CPU.
Google ontwikkelde een op software gebaseerde oplossing van Spook-Variant 2 genoemd Retpoline dat laat de speculatieve uitvoering gedrag in voldoende mate te verminderen, een aanval. Google test vond de correctie had een verwaarloosbaar effect hebben op de prestaties.
ZIE: Cybersecurity in een IoT en mobiele wereld (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Retpoline werd uitgevoerd door Linux-distributies zoals Red Hat en SUSE, evenals door Oracle voor Oracle Linux 6 en 7.
En nu, als MSPoweruser gespot, Microsoft kernel-ingenieurs hebben bevestigd dat Retpoline deel zal uitmaken van de volgende versie van Windows 10, 19H1, die het gevolg is van volgend jaar.
Google Retpoline plus Microsoft ‘ s eigen kernel aanpassingen verminderde de invloed op de prestaties “geluidsniveau”, aldus Mehmet Iyigun van Microsoft ‘ s Windows en Azure kernel team.
“Ja, we hebben ingeschakeld Retpoline standaard in onze 19H1 vluchten samen met wat we noemen ‘importeren ‘ optimalisatie’ verder te verminderen perf-impact door indirecte gesprekken in kernel-modus. Gecombineerd, deze verminderen de prestatie impact van de Spectre v2 oplossingen om ruis-niveau voor de meeste scenario ‘ s,” schreef Iyigun.
Het slechte nieuws is dat Microsoft niet onder de Retpoline fix in de nieuwste Windows-10 oktober 2018 Redstone Update 5, of RS5, release, hoewel, volgens CrowdStrike onderzoeker Alex Ionescu, het zou kunnen hebben.
Ionescu ontdekt Retpoline aanwezigheid in 19H1 met behulp van een tool ontwikkelde hij de zogenaamde SpecuCheck, een Windows-hulpprogramma dat IT-beheerders kunnen gebruiken om te controleren of de status van hardware en software oplossingen voor de Crisis, Spook en andere speculatieve-uitvoering kant-kanaal gebreken, zoals Speculatieve Winkel Bypass, en L1TF of ‘Voorbodes’ aanvallen.
Iyigun de bevestiging was een reactie op een tweet door Ionescu wijst uit dat Windows 10 niet volledig beperken Spook-Variant 2-aanvallen.
“Als je niet gepatchte Intel microcode met IBRS ondersteuning, of als je op de AMD Zen-processoren, Windows niet volledig beperken van de Spectre v2 tot 19H1, hoewel RS5 heeft alles wat nodig is om dit te activeren,” schreef Ionescu.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Als hij merkt op systemen zonder IBRS, Windows niet doorspoelen van de BIOS parameter block, of BPB, op de kernel-modus-gebruiker mode overgangen.
“Op systemen zonder IBRS, Windows won’ t spoel het BPB op kernel->gebruiker-overgangen. Dit opent een potentieel probleem voor Cpu ‘s zonder microcode implementeert IBRS”, legt hij uit in een thread.
“Dit is waarschijnlijk te wijten aan het feit dat IBPB (de andere mitigatie) is 2-3x trager dan IBRS, zodat de prestaties hit zou maken voor vele gewone gebruiker scenario’ s onverteerbaar, en nog erger op de server scenario ‘ s,” schreef Ionescu in een reeks van tweets.
Ionescu ook liep er een bestandssysteem benchmark op een Surface Pro 4 met Windows 19H1 geïnstalleerd en zag een “grote verbetering” in snelheid. De toevoeging van Retpoline zullen profiteren systemen met IBRS of IBPB.
“Retpoline is ingeschakeld, zelfs op systemen die alleen IBPB, wat betekent dat deze systemen zijn tot slot beveiligd tegen Spectre v2 zelfs op kernel->gebruiker overgangen vs de huidige stand van zaken (waar er geen bescherming). IBRS systemen ondertussen ziet een prestatie boost,” de onderzoeker genoteerd.
Maar Ionescu bovendien heeft Microsoft back-poort van de Retpoline mitigatie, omdat machines zonder IBRS “in principe zijn sitting ducks”.
Vorige en aanverwante dekking
Intel sloten Linux patch benchmark ‘gag’, biedt ‘onschuldige’ nieuwe licentie
Intel licentie voor de microcode beveiligingscorrecties niet meer voorkomt ontwikkelaars van het publiceren van benchmark resultaten.
Intel ‘gags’ Linux distro ‘ s uit het onthullen van performance hit van Spectre patches
U kunt het testen van de prestaties na het gebruik van onze patches, maar niet publiceren van de resultaten, zeggen Intel ‘ s nieuwe licentievoorwaarden.
Nieuwe Spectre variant 4: Onze patches oorzaak tot 8% performance hit, waarschuwt Intel
Intel ‘ s Spectre variant 4-patch zal worden standaard uitgeschakeld, maar gebruikers die zet het op waarschijnlijk trager.
Linux prestaties voor en na de Crisis en de Spectre fixes
De patches, zoals verwacht, bracht Linux prestaties neer, maar hun effect is niet zo erg als gevreesd.
Oracle ‘ s nieuwste Linux-oplossingen: Nieuwe Spectre, Lui FPU patches rundvlees van verdediging
Oracle heeft een nieuwe correcties beschikbaar voor Spectre gebreken die van invloed Linux-systemen op Intel en AMD chips.
Spectre chip beveiligingsprobleem slaat weer toe; de vlekken inkomende
Een Google-ontwikkelaar een nieuwe manier ontdekt dat er een ‘Spook’-stijl controle kan worden gebruikt voor aanvallen op een computer waarop een besturingssysteem.
Zijn 8 nieuwe ‘Spook-klasse’ gebreken in de Intel Cpu ‘ s te worden blootgesteld?
De rapporten zijn in opkomst van de acht nieuwe ‘Spook-class’ – beveiliging CPU kwetsbaarheden.
Ex-Intel security expert: Deze nieuwe Spectre aanval kan zelfs onthullen firmware geheimen
Een nieuwe variant van de Spectre kan het verduidelijken van de inhoud van het geheugen dat normaal niet toegankelijk is door de OS kernel.
Microsoft om Windows-gebruikers: Hier zijn de nieuwe kritische Intel beveiligingsupdates voor Spectre v2
Microsoft brengt nieuwe Windows-updates aan het adres van de Spook-variant 2 fout van invloed zijn op Intel-chips.
Windows 10 op AMD? Deze nieuwe update, plus de patch van Microsoft blok Spectre aanvallen
AMD heeft uitgebracht microcode-updates voor Spook-variant 2 waarvoor Microsoft ‘ s nieuwste Windows-10 patch.
Intel: Wij nu niet ooit patch Spook-variant 2 fout in deze chips
Een handvol CPU gezinnen die Intel was het gevolg van een patch zal nu voor altijd kwetsbaar blijven.
Windows 7 Kernsmelting patch opent erger kwetsbaarheid: Installeer Maart updates nu
Microsoft ‘ s Meltdown fix opende een gapend gat in Windows 7 security, waarschuwt de onderzoeker.
Intel ‘ s nieuwe Spectre fix: Skylake, Kaby Meer, Koffie Meer chips krijgen stabiel microcode
Intel maakt vooruitgang op heruitgifte stabiel microcode-updates tegen de Spectre aanval.
Heb u nog een oude PC? Of u krijgt Intel ‘ s nieuwste Spectre patch TechRepublic
Intel heeft een lijst van Cpu ‘ s uitgebracht tussen 2007 en 2011 niet ontvangen van een firmware-update te helpen beschermen tegen Spectre-gerelateerde exploits.
Class-action rechtszaken over Intel Spectre, Kernsmelting gebreken surge CNET
Sinds het begin van 2018, het aantal gevallen gestegen van drie tot en met 32.
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0