Nem értenek egyet a szakértők az Intellel az új biztonsági réseket illetően

A biztonsági szakemberek szerint a Hyper-Threading letiltása szükséges a teljes védelemhez.

A tegnapi napon írtunk arról, hogy az Intel új, bizonyos processzoraikat érintő biztonsági réseket jelentett be. Ezek MDS, azaz Microarchitectural Data Sampling gyűjtőnéven futnak, de már vannak a támadási formákra jól hangzó elnevezések is. Természetesen mindegyik ugyanazt a célt szolgálja, vagyis a processzor egyes puffereiből adatot olvasni egy arra egyébként nem jogosult folyamattal, így létre is jön az adatlopás.

A ZombieLoad (CVE-2018-12130) kihasználható például egy malware-rel, így a támadó képes ellopni a felhasználó böngészőelőzményeit, beírt jelszavait, vagy akár az adattárolók titkosítási kulcsait is. A RIDL és Fallout (CVE-2018-12126, CVE-2018-12127, CVE-2019-11091) esetében előbbivel a line-fill pufferek, illetve a load portok vehetők célba, míg utóbbival a store puffer támadható.

A szakemberek megjegyzik, hogy bár az Intel a Meltdown ellen hardveresen védő CPU-kat biztonságosnak tartja, a valóságban ezek is sérülékenyek a Falloutra, ironikus módon még jobban is, mint a korábbi generációs, hardveres védelemmel nem rendelkező modellek. Az Intel véleménye azonban az, hogy elég jó a beépített hardveres védelem.

Vita van még a Hyper-Threading kikapcsolásáról is. Az Intel hivatalosan ugyan felveti, hogy a fenti sebezhetőségek az említett technológia leállításával nagyobb eséllyel védhetők ki, de erre vonatkozó ajánlást már nem fogalmaznak meg. Ezzel szemben az operációs rendszereket fejlesztő érintettek kifejezetten ajánlják a Hyper-Threading letiltását, mert csak így van reális esély minden támadási lehetőséget megszüntetni.

A fentiekkel kapcsolatban az OpenBSD már korábban sem volt a Hyper-Threading nagy rajongója, így azt már régebben letiltották, most pedig azt javasolják, hogy mindenki kapcsolja ki a BIOS-ból. A Google a ChromeOS 74-es verziójától kezdve szintén tiltja a Hyper-Threadinget, függetlenül attól, hogy a felhasználó használni akarja-e vagy sem, és azt is bejelentették, hogy a 75-ös verzió további foltozásokat is tartalmazni fog.

Az Apple a macOS Mojave 10.14.5-ös verziójától kezdve tartalmaz javításokat, amely a Safari böngészőben megnyitott, támadó jellegű weboldal betöltésén, illetve a JavaScripten keresztüli támadás lehetőségét megszünteti, de a vállalat kiemeli, hogy a teljes védelemhez a Hyper-Threading letiltása szükséges, amelynek kivitelezését az alábbi weboldal részletezi. A 2010, illetve korábban megjelent Mac gépek egyelőre semmilyen védelemmel nem rendelkeznek, mivel az Apple szerint az Intel nem biztosított hozzájuk mikrokódfrissítést. A vállalat felhívja a figyelmet rá, hogy a teljes védelem aktiválása 40%-os teljesítményvesztéssel is járt a tesztjeiken, valószínűleg ezért bízzák a döntést a felhasználóikra, hogy a biztonságot vagy a sebességet választják.

A Microsoft természetesen elkészítette a szükséges frissítéseket a még támogatott Windows operációs rendszerekhez, amelyek már beszerezhetők a Windows Update szolgáltatáson keresztül. A cég ugyanakkor megjegyzi, hogy a teljes védelemhez szükséges lehet a Hyper-Threading letiltása.

A Red Hat, az Ubuntu és a Debian szintén felkészült, és mindannyian a Hyper-Threading letiltását javasolják, ha a felhasználó ragaszkodik a teljes biztonsághoz. A Red Hat annyiban továbbment, hogy az Enterprise Linux disztribúciójuk esetében már a telepítés során biztosítanak egy linket a rendszeradminisztrátoroknak, hogy letiltsák ezt a technológiát.

A szerverpiac tekintetében az érintettek ugyan elismerik, hogy a Hyper-Threading kikapcsolása az egyetlen megoldás a teljes biztonsághoz, de minden esetben az üzemeltetőre bízzák a döntést, maximum javaslatokkal fognak élni, amit a terméktámogatás szempontjából részleteznek is, ha erre vonatkozóan kérdések merülnének fel.

Az Intel nem javasolja a Hyper-Threading letiltását, ugyanakkor elfogadják a partnereik és ügyfeleik döntéseit.