Új, bizonyos processzorait érintő réseket jelentett be az Intel

A Meltdown ellen védő CPU-kra való váltás megoldás lehet, de a régebbi lapkák kapnak új mikrokódot.

Az Intel bejelentette, hogy új, bizonyos processzoraikat érintő biztonsági rést fedeztek fel, amelyet MDS, azaz Microarchitectural Data Sampling gyűjtőnéven illetnek. Ennek négy formáját azonosították, és mindegyik külön CVE besorolást kapott: CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 és CVE-2019-11091.

A probléma ismét a spekulatív végrehajtásból ered, ugyanis az MDS lehetővé teszi a processzor belső struktúrájában, ezen belül is különböző pufferekben tárolt adatok hozzáférhetőségét egy olyan kód számára, amelynek amúgy nem lenne szabad elérnie a tárolt információkat. Érdemes kiemelni, hogy bizonyos MDS sebezhetőséget kihasználó technikákat azok a fejlesztők írtak, akik a Spectre és Meltdown réseket felfedezték, de az Intel kiemelte, hogy magát a problémát a saját szakembereik vették észre először.

A gond tisztán architekturális, és a Nehalem dizájnt használó, vagy újabb Intel processzorokat érinti, de a cég hangsúlyozta, hogy a korábban beépített, Meltdown elleni hardveres védelem hatékonyan kivédi az MDS-t is bizonyos 8., illetve az összes 9. generációs mobil és asztali CPU-k alapjául szolgáló lapkában (Whiskey Lake és a legújabb steppinget használó Coffee Lake), valamint a második generációs skálázható Xeon sorozatban (Casvade Lake-SP és -AP). Emellett az Atom, illetve a Xeon Phi modellek a működésbeli eltérések miatt immunisak a fenti sebezhetőségre. A hibát felfedező szakembereknek szintén nem sikerült egyetlen MDS résre tervezett támadást sem kivitelezni az ARM és az AMD processzorain, így ezek is védettek.

A gond megoldása két részből áll. Egyrészt az Intel az újabb, hardveresen védett processzorok beszerzését javasolja, de ha ez nem lehetséges, akkor a régebbi, MDS-re sérülékeny processzorokhoz mikrokódfrissítést kell alkalmazni. Ezeket a cég biztosította a partnereinek, így hamarosan érkezhetnek a friss BIOS-ok, de maguk a mikrokódok az operációs rendszerek frissítéseibe is bekerülnek, illetve a hypervisor szoftverek sem maradnak ki. Magát a biztonsági rést egyébként eléggé nehéz valós körülmények között kihasználni, de ettől az érintettek minden esetben a javítások telepítését javasolják.

A friss mikrokódok bizonyos feladatok mellett teljesítményvesztést fognak okoznia, de a lassulás nagymértékben függ a futtatott a munkamenettől. A szoftveres javítás egyébként törli a biztonsági rés által hozzáférhető pufferek tartalmát, ha egy olyan alkalmazás kezd el futni az adott processzormagon, amiben a korábban futó alkalmazás nem bízik meg. Itt valószínűleg az operációs rendszerek bizonyos folyamatai lesznek a megbízhatók, míg egy szimpla harmadik féltől származó program már nem az.

A Hyper-Threading változása
A Hyper-Threading változása

Az új mikrokódok nagymértékben megváltoztatják majd a Hyper-Threading működését is, már amelyik processzort ez érinti. Az új rendszerben a processzormagok nem futtathatnak majd egymás mellett olyan folyamatokat, amelyek eltérő biztonsági domainekről származnak. Ezzel a Hyper-Threading hatásfoka csökkenni fog, hiszen kevesebb szituációban használhatók ki az előnyei, de az Intel mégse ajánlja a technológia kikapcsolását, annak ellenére sem, hogy egyre több biztonságtechnikai szakember erre buzdít. Ez logikus is, hiszen a Hyper-Threading továbbra is képes gyorsítani a feldolgozást, csak az újabb mikrokódokkal már nem annyira, amennyire korábban.