Além do ataque de side channel de dimensionamento de frequência Hertzbleed ser divulgado ontem como parte do "Patch Tuesday" e afetar as CPUs Intel e AMD, a Intel também está divulgando um conjunto de vulnerabilidades "MMIO Stale Data". O kernel do Linux já foi corrigido para essas novas vulnerabilidades que afetam várias gerações de CPUs Intel, desde Rocket Lake até Haswell X e Skylake.
A Intel emitiu um aviso de segurança sobre vulnerabilidades de segurança em seu manuseio de E/S mapeada em memória (MMIO) para Intel CPus que podem levar à divulgação de informações. A Intel está lançando firmware/microcódigo atualizado e também tratamento de mitigação no kernel Linux. Existem quatro CVEs separados para essas vulnerabilidades de dados obsoletos do MMIO que pertencem à divulgação potencial de informações por meio de acesso local. A Intel recomenda o software SGX atualizado para Linux e Windows. Há também um novo firmware sendo lançado e mesclado no momento do embargo, onde os patches do kernel do Linux para essas vulnerabilidades.
Esta nova documentação do kernel descreve ainda mais o problema. Haswell X e Skylake to Rocket Lake são impactados com pelo menos alguns passos, algumas CPUs Xeon são afetadas apenas por algumas das vulnerabilidades, etc., conforme descrito na documentação.
A mitigação para essas vulnerabilidades de dados obsoletos do MMIO é forçar a CPU a limpar os buffers afetados antes que um invasor possa extrair os segredos. Com o microcódigo da CPU atualizado, o microcódigo limpará os buffers da CPU quando a instrução "VERW" for chamada. Essas limpezas de buffer estão acontecendo no retorno ao espaço do usuário, antes das transições do estado C e dos pontos de entrada do convidado (VMENTER). Esse tratamento de mitigação se sobrepõe amplamente ao tratamento anterior de mitigação de MDS/TAA.
O status de mitigação em compilações de kernel Linux corrigidas será exposto em /sys/devices/system/cpu/vulnerabilities/mmio_stale_data . A mudança do kernel também introduz um novo mmio_stale_data=parâmetro do kernel que pode ser usado para forçar a mitigação, fornecendo mitigação completa ou mitigação completa com SMT/HT desabilitado para CPUs Intel afetadas como a mitigação "completa".
Veja esta mesclagem para a mitigação do lado do kernel do Linux para as vulnerabilidades do MMIO Stale Data, que é separada da divulgação do Hertzbleed .
Até a próxima !!
Nenhum comentário:
Postar um comentário