As extensões de proteção de software da Intel (SGX) como extensões relacionadas à segurança para seus processadores que permitem enclaves de memória protegidos tiveram uma jornada bastante agitada. A Intel continua a oferecer suporte ao SGX em seus processadores Xeon mais recentes, mas no lado do cliente foram preteridos desde a 11ª geração do Core. Ao longo dos anos, o SGX foi considerado vulnerável a vários ataques, desde explorações de execução especulativa até Plundervolt. Acontece também no Linux até agora também estava aberto a travar sob pressão de memória.
Na fila como parte das alterações do SGX para o Kernel Linux 5.19, está abordando a possibilidade de o suporte ao SGX travar quando sob forte pressão de memória. Dave Hansen da Intel explicou nas atualizações do SGX para v5.19:
Um conjunto de patches para evitar falhas em enclaves SGX sob forte pressão de memória:
O SGX usa RAM normal alocada de arquivos shmem especiais como armazenamento de apoio quando fica sem memória SGX (EPC). O código era excessivamente agressivo ao liberar páginas shmem e inadvertidamente liberava dados perfeitamente bons. Isso resultou em falhas nas instruções SGX usadas para trocar dados de volta na memória SGX.
A "boa" notícia é que é difícil desencadear esse comportamento no kernel Linux principal e provavelmente como o problema durou tanto tempo. A Intel notou o problema ao testar seus últimos patches fora da árvore para "SGX2" e, ao investigar, descobriu que o código principal também é vulnerável, embora com menor probabilidade de ser encontrado.
As atualizações do SGX para o Kernel Linux 5.19 corrigem esse problema sendo mais cuidadosos ao truncar páginas do armazenamento de apoio e marcar páginas sujas.
Até a próxima !!
Nenhum comentário:
Postar um comentário