Endnu en gang drejer diskussionen sig mod sikkerhedsproblemer, der plager forskellige processorer på markedet. Denne gang er det værd at fremhæve den fælles anerkendelse fra Intel og microsoft vedrørende en sårbarhed, der påvirker snesevis af Intel-processorer. Problemet ligger i det faktum, at løsningen af denne fejl i Intel-processorer indebærer en væsentlig afvejning af ydeevnen.
Efter afsløringen af sårbarheder som Spectre og Meltdown, der primært var rettet mod Intel-processorer, er en række yderligere sårbarheder kommet frem i lyset. Udbredelsen af sådanne problemer stammer fra den skærpede kontrol, der anvendes på siliciumniveau. Før dette dykkede undersøgelserne ikke så dybt, men behovet for en sådan undersøgelse er utvetydigt blevet påvist.
Siden da er der opstået en stigning i disse sikkerhedssårbarheder, som efterfølgende har påvirket ydeevnen. Det er vigtigt at erkende, at de løsninger, der udtænkes, i sagens natur fører til en forringelse af systemets overordnede ydeevne.
Intel står over for sårbarhedsudfordring endnu en gang
Endnu en gang finder Intel sig selv at kæmpe med sikkerhedssårbarheder. Omdrejningspunktet for bekymring denne gang er en sårbarhed, der retter sig mod den forbigående eller spekulative eksekveringssidekanal. Denne fejl, kendt som Gather Data Sampling (GDS) eller alternativt "Downfall", er blevet tildelt den tekniske identifikator CVE-2022-40982.
Virkningen af denne sårbarhed spænder over Intel-processorer fra 7. generation til 11. generation. Det er bemærkelsesværdigt, at processorer fra 12. generation (Alder Lake) og 13. generation (Raptor Lake) ser ud til at være undtaget fra dette problem. Disse seneste generationer inkorporerer Trust Domain eXtension (TDX), en funktion, der effektivt isolerer virtuelle maskiner (VM'er) fra virtuelle maskinadministratorer (VMM'er).
Denne isolation skaber et beskyttet miljø, der ligner et boblelignende system, hvor hardware-isolerede virtuelle maskiner i det væsentlige betegnes som "betroede domæner."
Uddybende om sagen forklarer et Microsoft-dokument, der er knyttet til KB5029778-patchen:
"Microsoft er opmærksom på et nyt forbigående eksekveringsangreb kaldet Data Collection Sampling (GDS) eller 'Drop'. Denne sårbarhed kan bruges til at udlede data fra berørte CPU'er på tværs af sikkerhedsgrænser såsom brugerkerne, processer, virtuelle maskiner (VM'er) og betroede eksekveringsmiljøer."
Intels forklaring af Downfall omfatter følgende processorer:
- 7. generation (Kaby Lake)
- 8. generation (Coffee Lake)
- 9. generation (Coffee Lake-opdatering)
- 10. generation (Comet Lake)
- 11. generation (Rocket Lake på desktop/Tiger Lake på mobil)
Det er bemærkelsesværdigt, at de førnævnte processorer mangler Trust Domain eXtension, en funktion introduceret fra 12. generation og fremefter. Ifølge Intels forklaring:
"Gather Data Sampling (GDS) er en forbigående udførelsessidekanalsårbarhed, der påvirker visse Intel-processorer. I specifikke scenarier, under en indsamlingsinstruktion, der involverer visse hukommelsesbelastninger, kunne en ondsindet angriber udnytte denne instruktionstype til at udlede forældede data fra tidligere anvendte vektorregistre. Disse registre kan svare til dem, der bruges af den samme tråd eller dens søskendetråd på den samme processorkerne."
Præstationspåvirkende afbødning
Intel har officielt anerkendt, at denne sårbarhed kan løses gennem en mikrokodeopdatering eller en Intel Platform Update. Hurtig implementering af den anbefalede opdatering tilrådes for effektivt at afbøde sårbarheden.
På velkendt måde støder vi på den typiske gåde: et sikkerhedsbrud, der nødvendiggør patching gennem softwaremidler, hvilket uundgåeligt påvirker ydeevnen. Bemærkelsesværdigt er ligheden med Spectre- og Meltdown-sårbarhederne slående, med den konklusion, at disse sårbarheder tilsyneladende blev løst fra 9. generation af Intels processorer.