Een bug in Intel-processors impliceert een aanzienlijk prestatieverlies

Opnieuw gaat de discussie over beveiligingsproblemen waarmee verschillende processors op de markt te kampen hebben. Deze keer is het de moeite waard om de gezamenlijke erkenning van te benadrukken Intel samen met Microsoft over een kwetsbaarheid die tientallen Intel-processors treft. De hachelijke situatie ligt in het feit dat het aanpakken van deze fout in Intel-processors een substantiële prestatie-inbreuk met zich meebrengt.

Na de onthulling van kwetsbaarheden als Spectre en Meltdown, die vooral op Intel-processors waren gericht, is een hele reeks extra kwetsbaarheden aan het licht gekomen. De proliferatie van dergelijke problemen komt voort uit de toegenomen controle op siliciumniveau. Voordien waren de onderzoeken niet zo diepgaand, maar de noodzaak van een dergelijk onderzoek is ondubbelzinnig aangetoond.

Sindsdien is er een toename van deze beveiligingskwetsbaarheden ontstaan, die vervolgens de prestaties beïnvloeden. Het is belangrijk om te erkennen dat de oplossingen die worden bedacht inherent leiden tot een verslechtering van de algehele systeemprestaties.

kwetsbaarheid CPU-Intel

Intel staat opnieuw voor een kwetsbaarheidsuitdaging

Opnieuw kampt Intel met beveiligingsproblemen. Het aandachtspunt deze keer is een kwetsbaarheid die zich richt op het voorbijgaande of speculatieve executiekanaal. Deze fout, bekend als Gather Data Sampling (GDS) of alternatief ‘Downfall’, heeft de technische identificatie CVE-2022-40982 gekregen.

De impact van dit beveiligingslek strekt zich uit over Intel-processors van de 7e generatie tot en met de 11e generatie. Met name processors van de 12e generatie (Alder Lake) en 13e generatie (Raptor Lake) lijken van dit probleem te zijn vrijgesteld. Deze nieuwste generaties bevatten de Trust Domain eXtension (TDX), een functie die virtuele machines (VM's) effectief isoleert van virtuele machinebeheerders (VMM's).

Deze isolatie creëert een beveiligde omgeving die lijkt op een bubbelachtig systeem, waarin hardware-geïsoleerde virtuele machines in wezen worden aangeduid als ‘vertrouwde domeinen’.

Intel Comet Lake-processors

In een Microsoft-document dat is gekoppeld aan de KB5029778-patch wordt hierover dieper ingegaan:

“Microsoft is op de hoogte van een nieuwe tijdelijke uitvoeringsaanval genaamd Data Collection Sampling (GDS) of 'Drop'. Deze kwetsbaarheid kan worden gebruikt om gegevens van getroffen CPU’s af te leiden over beveiligingsgrenzen heen, zoals de gebruikerskernel, processen, virtuele machines (VM’s) en vertrouwde uitvoeringsomgevingen.”

Intel's uitleg van Downfall omvat de volgende processors:

  • 7e generatie (Kaby-meer)
  • 8e generatie (Coffee Lake)
  • 9e generatie (Coffee Lake-update)
  • 10e generatie (Comet Lake)
  • 11e generatie (Rocket Lake op desktop/Tiger Lake op mobiel)

Het is opmerkelijk dat de bovengenoemde processors de Trust Domain eXtension missen, een functie die vanaf de 12e generatie werd geïntroduceerd. Volgens de uitleg van Intel:

“Gather Data Sampling (GDS) is een tijdelijke kwetsbaarheid aan de kant van de uitvoering die bepaalde Intel-processors treft. In specifieke scenario's kan een kwaadwillende aanvaller tijdens een verzamelinstructie waarbij bepaalde geheugenbelastingen betrokken zijn, dit instructietype misbruiken om verouderde gegevens af te leiden uit eerder gebruikte vectorregisters. Deze registers kunnen overeenkomen met de registers die worden gebruikt door dezelfde thread of een zusterthread op dezelfde processorkern.”

Intel cpu

Beperking van prestatie-impact

Intel heeft officieel erkend dat dit beveiligingslek kan worden verholpen via een microcode-update of een Intel Platform Update. Om de kwetsbaarheid effectief te beperken, wordt een snelle implementatie van de aanbevolen update geadviseerd.

Op vertrouwde wijze komen we het typische raadsel tegen: een inbreuk op de beveiliging die patching via software noodzakelijk maakt, wat onvermijdelijk gevolgen heeft voor de prestaties. Opmerkelijk genoeg is de gelijkenis met de Spectre- en Meltdown-kwetsbaarheden opvallend, met de gevolgtrekking dat deze kwetsbaarheden ogenschijnlijk werden opgelost vanaf de 9e generatie Intel-processors.