Trīs jauni spokiem / sabrukumam līdzīgi bugs, kas atrodami CPU intel

Intel procesoros ir atrastas trīs jaunas “spekulatīvas izpildes” kļūdas, kas līdzīgas “ Spectre” un “ Meltdown ” kļūdām, paverot iespējas iespējamiem uzbrukumiem.

Atklājiet Intel procesoru drošības nepilnības, līdzīgas Specter un Meltdown

Šie uzbrukumi ir definēti ar cipariem CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646, un tie veido jaunu ievainojamības kategoriju, kas pazīstama kā L1 termināļa kļūme (L1TF) un Foreshadow.

Lai lietas būtu vienkāršas, šie trūkumi ļauj uzbrucējiem lasīt informāciju procesora L1 kešatmiņā - nelielā atmiņas rezervē, kurai var piekļūt tikai apstrādes kodols (un ar to saistītie pavedieni SMT iespējotiem CPU). Piekļuve šai parasti ierobežotajai informācijai var ļaut uzbrucējiem nozagt informāciju, piemēram, paroles un šifrēšanas atslēgas, un biedējoši ir tas, ka šo uzbrukumu var veikt no vienas virtuālās mašīnas uz otru virtualizētā servera vidē.

Par laimi, šos jautājumus var novērst, izmantojot programmaparatūras, programmatūras un hipervizora atjauninājumus, un Microsoft ziņo, ka tā programmatūras atjauninājumiem ir “nenozīmīga ietekme uz veiktspēju” emuāra ierakstā ar nosaukumu “Hyper-V HyperClear Mitigation for L1. Termināļa kļūda ”, kas nonāk ļoti detalizēti attiecībā uz Microsoft labojumiem un citiem iespējamiem ielāpiem.

AMD komentēja, ka tā procesori "nav jutīgi pret jauniem spekulatīvu izpildes uzbrukumu variantiem, kurus sauc par Foreshadow vai Foreshadow-NG, pateicoties mūsu aparatūras peidžeru arhitektūras aizsardzībai". AMD arī iesaka tā datu centru lietotājiem savās platformās neizvietot ar Foreshadow saistītus ielāpus.

Intel skaidro, kas ir Foreshadow, un iespējamos risinājumus

L1TF arvien pieaugošajam spekulatīvo izpildes uzbrukumu sarakstam pievieno trīs jaunas ievainojamības, no kurām daudzas ir raksturīgas tikai Intel procesoriem.

Gizmodo fonts (attēls) Overclock3D