“Linux开发人员声称除非禁用超线程否则可以利用英特尔CPU”
如果英特尔解决方案正在运行超线程技术,则这些解决方案很容易使用。 此外,如果要为cpu提供完全的安全性,则必须禁用此功能。 在某些情况下,性能可能会下降。
这是linux内核开发者greg kroah-hartman的见解,他在里昂的欧洲开源峰会(今天结束)上分享了他对安全性的想法。 正如the register强调的那样。
kroah-hartman和其他人概述的问题是,超线程是一个危险的行业,因为它在mds和微架构的数据采样中出现了错误。
虽然听起来像是家喻户晓的事情,但是可能在5月的zombieload小故事里还记得。 这一集是与其他基于mds的漏洞(包括fallout和ridl )一起出道的。
要真正保护自己免受这些潜在威胁,只能关闭超线程功能。 kroah-hartman在一年前曾表示,将禁用以开源安全为中心的操作系统openbsd的超线程功能。 这里有很多问题。 他们比其他任何人都早选择了安全而不是性能。 禁用超线程功能。 这是处理其中一个问题的唯一方法。 我们在减少你的工作量。 非常抱歉。
僵尸缓解
你可能还记得,当zombieload被偶然发现时,苹果对mac客户完全缓解攻击的唯一方法是禁用超线程,而不仅仅是应用相关的安全补丁。 (苹果估计,一些客户的性能下降了40%。
对于没有经验的人来说,超线程是将cpu核心划分为两个虚拟核心(或线程)的地方,对于需要多个核心的繁重任务和业务负载( amd称为多线程或smt )有很大的帮助。
但是,如果这样在内核之间分配任务,则如kroah-hartman所述,mds是一个程序可以读取另一个程序数据的地方。 在云计算等共享环境中运行时,即使是在浏览器选项卡之间也是不好的。
可以跨越很多虚拟机的边界。 mds利用了cpu是超线程的事实,cpu在同一裸芯片上拥有多个共享缓存的内核。 共享缓存可以检测另一个cpu内核正在做什么。
简单来说,利用这些漏洞,攻击者可以从其他应用程序无法访问的应用程序中窃取数据。
更令人担忧的是,存在一些潜在的问题和投机执行攻击的变体,需要根据相当固定的标准进行大量的修补。 事实上,两年前也引入了第一个spectre错误修补程序。
因此,必须拥有适用于操作系统的所有最新安全修补程序和最新的bios版本。 尽管如此,如果正在执行超线程,则可能找不到潜在的漏洞。 这些漏洞在后台潜伏着。
因此,所有真正的安全建议都指向超线程的禁用。
kroah-hartman补充说,如果不使用受支持的版本和稳定的长时间内核,系统就不安全。 这么简单。 任何未更新的嵌入式设备都非常容易损坏。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。