Un error masivo en la CPU de Intel deja el kernel vulnerable y ralentiza el rendimiento: informe

Intel Kaby Lake

La seguridad de la CPU de Intel sufrió algunos golpes hace unos meses, con problemas bien publicitados con Intel Management Engine. Si hay que creer en los rumores, 2018 podría comenzar de manera uniforme. peor año para la empresa. Existe una creciente especulación de que hay un error importante en las CPU Intel que requiere un cambio total en la forma en que Linux, Windows y macOS mapean las tablas de páginas, con el objetivo aparente de evitar que las CPU Intel x86 revelen el diseño del espacio de direcciones del kernel a un atacante. También se está trabajando en un parche similar para los sistemas ARM; Las CPU AMD (al momento de escribir este artículo) no se ven afectadas por este problema.

Esto es lo que sabemos hasta ahora: un artículo inicial en LWN.Net presenta un nuevo conjunto de parches para el kernel de Linux que comenzaron a fines de octubre y continúan hasta el día de hoy. Estos esfuerzos se centran en implementar el aislamiento de tabla de página del kernel, o KPTI, que divide las tablas de página (actualmente compartidas entre el espacio del kernel y el espacio del usuario) en dos conjuntos de datos, uno para cada lado. Microsoft aparentemente está preparando su propia solución y se espera que la lance en un futuro no muy lejano.

Todavía no sabemos cómo los atacantes explotan el error de hardware en Intel y aparentemente las CPU ARM. Todo lo que sabemos es que aparentemente es posible discernir el contenido de la memoria del núcleo protegida aprovechando este exploit. Puede haber algunas similitudes conceptuales con Rowhammer, la técnica de ataque de memoria DDR que hemos discutido antes, en cómo se lleva a cabo este ataque. Rowhammer se puede utilizar para cambiar los datos almacenados en ciertas ubicaciones de memoria 'martillando' filas adyacentes de DRAM hasta que la carga eléctrica en las celdas objetivo cambie.



kpti-aislamiento

Imagen de PythonDulcedad

El blog Python Sweetness ha publicado una discusión bastante buena sobre lo que sabemos y lo que no sabemos sobre este problema de seguridad, aunque el autor de la publicación también se vincula a un informe erróneo que sugiere que las CPU de AMD sufren un impacto del 50 por ciento en el rendimiento cuando la solución de software para que la corrección esté habilitada (no se espera que las CPU AMD, en el momento de escribir este artículo, necesiten parches). La solución al problema es habilitar una capacidad conocida como aislamiento de tabla de páginas (PTI), pero esto aparentemente causa una degradación significativa del rendimiento en algunas CPU de Intel que ejecutan algunas cargas de trabajo. Las pruebas de Postgre SQL sugieren ralentizaciones del 7 al 23 por ciento, según la CPU Intel que pruebe.

Es posible que las CPU Intel recientes no se vean afectadas por este problema en la misma medida que los chips más antiguos, pero no he podido confirmarlo personalmente. Hay referencias al uso de la instrucción 'nopcid' para deshabilitar otras características que Intel incorporó a su microarquitectura Core para mitigar el impacto en el rendimiento al separar el kernel y el espacio de memoria del usuario, pero no hay una clara demarcación sobre cuándo se introdujeron esas características atenuantes. La instrucción nopcid se agregó con soporte AVX2 cuando Haswell era nuevo, lo que parecería implicar que las CPU Intel anteriores a Haswell podrían enfrentar mayores penalizaciones que los chips posteriores a Hawell.

En este momento, la lista de lo que no sabemos es más larga que lo que hacemos. Existen implicaciones para los proveedores y desarrolladores de la nube en todo el espectro donde se implementan ARM y x86, pero hasta que sepamos más sobre la falla de seguridad y los sistemas en riesgo, aconsejamos no sacar conclusiones rápidas. Punta de sombrero a Hardware caliente, donde vimos la historia por primera vez.

Copyright © Todos Los Derechos Reservados | 2007es.com