Gadgetshowto
Intels processorer er fundet at fremme a alvorlig sikkerhedsfejl, der kan bruges til at manipulere og kapre CPU-aktivitet. Desværre er fejlen så stor, at fixing indebærer ændring af OS-kerner hvilket vil langsomme systemer ned med op til 30%.
En meddelelse, der blev offentliggjort på PostgreSQL, afslørede sårbarheden i Linux-kernen, hvilket pegede på et udbredt CPU-problem og den resulterende rettelse, som vil påvirke ydeevnen..
Mens Intel skjuler detaljerne i den fejl, den har cirkulerede en opdatering til de hurtige betatestere i Windows Insider-programmet, og en efterfølgende patch til dette smuthul forventes at ramme stabile builds den kommende tirsdag, dvs. 9. januar 2018.
Ligeledes, Apple bliver også nødt til at opdatere macOS for at undvige problemet, og som i konkurrerende operativsystemer vil løsningen sænke Mac-computere.
Roden til sikkerhedssmuthul ligger i tildelingen af virtuelle hukommelsespladser på kernen. Disse rum bruges af CPU'en til at udføre processer, der interagerer med hardware og ikke er synlige for brugeren. Da fejlen giver berygtede programmer og useriøse brugere adgang til disse næsten tildelte rum, er den sidste udvej - faktisk den eneste - at isoler kernetabellen eller databasen over de virtuelle adresser.
Her er en relatabel analogi:
Du er i et supermarked, og dit mål er at købe en kage - dette er en proces, der er igangsat af brugeren. Du plukker kagen op og går over til faktureringstælleren - eller CPU'en - hvor en faktureringschef (aka kernel) opkræver dig for kagen ved at indtaste detaljerne i faktureringssystemet (microkernel), og processen er afsluttet, når du går væk med kagen.
Problemet opstår, når faktureringschefen bruger butikens faktureringssystem, og en anden kunde (dvs. bruger eller program) kigger ind i systemet for at stjæle nogle penge fra registret (dvs. bruge CPU-ressourcer) eller snuse på dit køb (piggy-back for at spionere på dine aktiviteter).
Løsningen er at skabe en kiosk, hvor ingen kunde - slyngel eller venlig - har kendskab til de tilgængelige kontanter eller lager i butikken. Men nu skal butikken erstatte en hengiven manager (“Kernel Page Table Isolation”) for at fuldføre faktureringsopgaverne. Mens denne opmærksomme leder er opmærksom på at sikre information, tilføjer dette et ekstra trin i faktureringsprocessen, så din kage forsinkes lidt.
Tilsvarende tilføjelsen af en isolationsprotokol bremser brugerprocesser for at afværge enhver ondsindet bruger eller malware fra at snuse på de beskyttede data i kernen.
AMD-processorer, der ikke er påvirket af fejlen:
AMD har i en e-mail til The Register hævdet, at det er processorer prioriterer automatisk opgaver uden at katalogisere følsomme oplysninger om processerne i en virtuel database. Dette gør dem sikre mod angreb, som Intels processorer er modtagelige for.
AMD-processorer er ikke underlagt de typer angreb, som funktionen til isolering af kernesidetabellen beskytter mod. AMD-mikroarkitekturen tillader ikke hukommelsesreferencer, inklusive spekulative referencer, der får adgang til højere privilegerede data, når de kører i en mindre privilegeret tilstand, når denne adgang vil resultere i en sidefejl.
I mellemtiden har virksomheder, der bruger Intels hardware til online-databaser og cloud-servere - inklusive Amazon AWS - informeret brugerne om en større indgående patch uden at specificere problemet, især med hensyn til afmatningen.
