Iz Intel-a je stiglo saopštenje da je pronađen još jedan side-channel propust u njihovim procesorima, a koji utiče na veliki broj procesorskih SKU-ova iz ove kompanije, izuzev osme i devete generacije čipova.
Naime, Microarchitectural Data Sampling napadi su side-channel napadi tokom spekulativnog izvršavanja koji mogu dozvoliti zlonamernim korisnicima da lokalno iniciraju kod kako bi izvukli osetljive podatke koje bi inače zaštitili arhitektonski mehanizmi Intelovih procesora.
Intel veruje da, kako bi zaštitili korisnike od ovog problema sa spekulativnim izvršenjem, Microsoft i drugi proizvođači operativnih sistema, hypervisor vendori, kao i sam Intel, bi morali da implementiraju značajne promene u svom softveru. Rešenje će uključivati čišćenje mikroarhitektonskih bafera pri prelasku na softver koji nije odgovarajuć prethodnom softveru. Na primer, svaki put kada bi procesor prelazio iz jedne third-party aplikacije u drugu, iz Windows procesa u third-party aplikaciju, ili čak iz manje pouzdanih Windowsovih procesa u one pouzdanije, baferi bi morali biti izbrisani ili prepisani.
Dodavanje tako značajnog koraka u softver za obradu će najverovatnije dovesti do gubitka performansi. Kompanija je u svom saopštenju priznala da će olakšavanje softvera imati značajan uticaj na to kako HT radi. Thread-ovima će trebati viši nivo izolacije između njih samih, i više neće moći pokretati procese iz različitih sigurnosnih domena. Thread-ovi iz različitih sigurnosnih domena će jednostavno postati idle (pretvarajući se u izgubljenu procesorsku snagu). Intel je takođe javno odbijao da se složi sa onemogućavanjem HT-a, u jeku otkrivanja ranijih grešaka CPU-a, ali u svom radu, kompanija je izjavila da je onemogućavanje HT-a potpuno opravdano kao zaštita od MDS napada.
Intel je napomenuo da će budući procesori u hardveru ublažiti metode uzorkovanja podataka. Neki od trenutnih čipova kompanije takođe mogu da omoguće slične olakšice, ali samo nakon što se učita ažuriranje mikrokodova. Drugim rečima, oslanjate se na proizvođača matičnih ploča ili proizvođača laptop računara da vam dostavi tu ispravku, pre nego što možete da imate koristi od ovog ublažavanja. Gotovo svi Intelovi čipovi koji počinju sa Nehalem arhitekturom (pokrenutom 2008. godine, pre 11 godina) i noviji, sa izuzetkom Whiskey Lake (ULT refresh), Whiskey Lake (desktop), kao i Atom i Knights arhitekture, su ranjivi na MDS napade.
U međuvremenu je Intel objavio još jedno saopštenje u kojem se navodi da se ne preporučuje svima onemogućavanje Hyper-Threading, ali da neki od njihovih klijenata treba da razmotre opciju u zavisnosti od njihovih bezbednosnih potreba: „Kada se ovi update-ovi implementiraju, može biti prikladno za neke korisnike da razmotre dodatne korake. Ovo uključuje korisnike koji ne mogu da garantuju da pouzdani softver radi na njihovim sistemima i da koriste simultano Multi-Threadovanje (SMT).
U ovim slučajevima, klijenti bi trebali razmotriti kako koriste SMT za određeno radno opterećenje, smernice od svojih OS i VMM softvera, kao i model sigurnosnih pretnji za svoje specifično okruženje. Kako ovi faktori variraju znatno od korisnika, do korisnika, Intel ne preporučuje onemogućavanje HT, i važno je razumeti da to samo po sebi ne pruža zaštitu protiv MDS-a.“
Čini se da je Google jedan od onih odabranih klijenata koji smatraju da je rizik od zadržavanja HT-a aktiviranog prevelik. Kompanija je na sajtu Chromium objavila da će HT biti onemogućen u OS Chrome verziji 74: „Da bi zaštitili korisnike, Chrome OS 74 onemogućava Hyper-Threading po defaultu.
Za većinu naših korisnika to ublažava sigurnosni rizik MDS-a bez primetnog gubitka odziva. Chrome OS 75 će sadržati dodatne olakšice.“
Izvor: Intel
Komentarišite na forumu…
Dodaj komentar