FERRAMENTAS LINUX: O kernel Linux está preparado para o Specter V2 - Proteção do Espaço do Usuário - Área do Usuário

quarta-feira, 26 de setembro de 2018

O kernel Linux está preparado para o Specter V2 - Proteção do Espaço do Usuário - Área do Usuário





Confira !!



Embora o kernel do Linux tenha sido corrigido por meses (e disponível o microcódigo da CPU atualizado) para mitigar a Variável Specter Two "Branch Target Injection", ele se concentrou na proteção do espaço do kernel enquanto os patches estão pendentes agora para a proteção userspace-userspace.

A atenuação do Spectre V2 para ataques de aplicativo a aplicativo não tem sido uma prioridade, pois é mais difícil de explorar devido ao ASLR (Address Space Layout Randomization). Essa proteção está sendo trabalhada e esses novos patches permitem a atenuação de aplicativo para aplicativo para o Specter Variant Two via IBPB (Indirect Branch Prediction Barrier) e STIBP (Single Thread Indirect Branch Preditors). Esta proteção através dos novos patches do kernel Linux é para os processadores Intel e AMD.

Mas, como com as outras atenuações do Specter (e do Meltdown), essa proteção do userspace-userspace terá um custo de desempenho. Tim Chen, que postou estes últimos patches sobre o kernel do Linux, " deixar o STIBP ligado o tempo todo é caro para certos aplicativos que têm ramificações indiretas frequentes. Um desses aplicativos é o perlbench na suíte de testes SpecInt Rate 2006 que mostra uma redução de 21% no throughput. Outros aplicativos como o bzip2 no mesmo conjunto de testes com ramificações indiretas mínimas têm apenas uma redução de 0,7% na taxa de transferência. O IBPB também impõe sobrecarga durante as alternâncias de contexto. "

O comportamento padrão será o kernel decidir sobre o comportamento "lite" ou "strict". O modo lite permite a atenuação de processos que não são dumpíveis, enquanto o modo estrito protege todos os processos do usuário. Este suporte pode ser alternado através da configuração do kernel spectre_v2_app2app = .

Os quatro patches para essa atenuação de aplicativo para aplicativo do Spectre V2 podem ser encontrados na lista de discussão do kernel . Como os patches de Specter / Meltdown geralmente são aceitos no mainline quando estão prontos, em vez de esperar pela janela de mesclagem do próximo ciclo, veremos se esses patches acabam no kernel Linux 4.19 ou retidos até o kernel Linux 4.20 ~ 5.0.


Fonte

Até a próxima !!
Cezar Henrique at
Marcadores: Linux, Android, Segurança , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)