A Intel apresentou um microcódigo de CPU inovador para corrigir cinco questões de segurança.
Além disso, um código de kernel Linux recém-integrado está disponível para atenuar a recente vulnerabilidade de microarquitetura “RFDS” do Register File Data Sampling que impacta os núcleos Atom / E.
A Intel disponibilizou um microcódigo de processador aprimorado para atenuar SA-00972, SA-00982, SA-00898, SA-00960 e SA-01045. Esses boletins de segurança fornecem soluções para um problema de bloqueio de barramento do processador Intel que pode resultar em uma possível negação de serviço, um vetor de exposição de informações através de previsões de retorno do processador, a vulnerabilidade RFDS de classificação média e uma vulnerabilidade de elevação de privilégios Xeon SGX/TDX de 3ª/4ª geração.
Adicionalmente, o novo microcódigo da CPU traz atualizações para problemas funcionais não especificados, desde o Core Ultra “Meteor Lake” até os processadores Core de 7ª geração, bem como os processadores escaláveis Xeon de 4ª geração até os Xeon escaláveis de 2ª geração. Esta atualização de microcódigo também marca a primeira vez que a Intel publica novos arquivos de microcódigo de CPU para os processadores Meteor Lake e Emerald Rapids.
Os novos arquivos de microcódigo da CPU Intel podem ser baixados no GitHub.
Paralelamente, a mitigação RFDS para o Register File Data Sampling foi incorporada ao Linux Git. Esta vulnerabilidade envolve um espaço de usuário mal-intencionado capaz de inferir valores de registro obsoletos do espaço do kernel. Devido à possibilidade de os registros do kernel conterem segredos, a mitigação envolve a limpeza dos valores nos registros antes de retornar ao espaço do usuário.
A vulnerabilidade de amostragem de dados do arquivo de registro afeta os núcleos Intel Atom / E dos núcleos Goldmont, Tremont, Alder Lake, Raptor Lake e Gracemont.
Mitigação
A Intel disponibilizou uma atualização de microcódigo que permite ao software limpar informações confidenciais usando a instrução VERW. Assim como o MDS, o RFDS implementa a mesma estratégia de mitigação para forçar a CPU a limpar os buffers afetados antes que um invasor possa extrair os segredos. Isso é realizado usando a instrução VERW, que é obsoleta e não utilizada, em combinação com uma atualização de microcódigo. O microcódigo limpa os buffers da CPU afetados quando a instrução VERW é executada.
Pontos de mitigação
A instrução VERW é executada pelo kernel antes de retornar ao espaço do usuário e pelo KVM antes do VMentry. Nenhum dos núcleos afetados suporta SMT, portanto, o VERW não é necessário nas transições do C State.
Estamos ansiosos para ver se alguma das alterações no microcódigo resulta em alguma mudança de desempenho nas gerações afetadas. Ainda estamos analisando os avisos, pois não fomos informados com antecedência.
Até a próxima !!
Nenhum comentário:
Postar um comentário