И снова дискуссия вращается вокруг проблем безопасности, от которых страдают различные процессоры на рынке. На этот раз стоит отметить совместное признание Intel и Microsoft относительно уязвимости, затрагивающей десятки процессоров Intel. Затруднительное положение заключается в том, что устранение этого недостатка в процессорах Intel влечет за собой существенный компромисс в производительности.
После обнаружения таких уязвимостей, как Spectre и Meltdown, которые в первую очередь были нацелены на процессоры Intel, появилось множество дополнительных уязвимостей. Распространение таких проблем связано с повышенным вниманием, применяемым на кремниевом уровне. До этого расследования не были столь глубокими, но необходимость такого изучения была недвусмысленно продемонстрирована.
С тех пор возник всплеск этих уязвимостей безопасности, что впоследствии повлияло на производительность. Важно признать, что разрабатываемые меры по своей сути приводят к снижению общей производительности системы.
Intel снова сталкивается с проблемой уязвимостей
Intel снова сталкивается с уязвимостями в системе безопасности. На этот раз предметом беспокойства является уязвимость, нацеленная на временный или спекулятивный побочный канал исполнения. Этой уязвимости, известной как Gather Data Sampling (GDS) или, альтернативно, «Downfall», присвоен технический идентификатор CVE-2022-40982.
Влияние этой уязвимости распространяется на процессоры Intel от 7-го до 11-го поколения. Примечательно, что процессоры 12-го поколения (Alder Lake) и 13-го поколения (Raptor Lake), похоже, освобождены от этой проблемы. Эти последние поколения включают Trust Domain eXtension (TDX), функцию, которая эффективно изолирует виртуальные машины (VM) от менеджеров виртуальных машин (VMM).
Эта изоляция создает защищенную среду, похожую на пузырьковую систему, в которой аппаратно изолированные виртуальные машины по существу обозначаются как «доверенные домены».
В документе Microsoft, связанном с патчем KB5029778, поясняется:
«Microsoft известно о новой временной атаке выполнения под названием Data Collection Sampling (GDS) или Drop. Эта уязвимость может быть использована для получения данных от затронутых процессоров через границы безопасности, такие как пользовательское ядро, процессы, виртуальные машины (ВМ) и доверенные среды выполнения».
Объяснение Intel по поводу Downfall включает в себя следующие процессоры:
- 7-е поколение (Каби-Лейк)
- 8-е поколение (Кофейное озеро)
- 9-е поколение (обновление Coffee Lake)
- 10-е поколение (Кометное озеро)
- 11-е поколение (Rocket Lake для ПК/Tiger Lake для мобильных устройств)
Примечательно, что в вышеупомянутых процессорах отсутствует Trust Domain eXtension, функция, представленная начиная с 12-го поколения. Согласно объяснению Intel:
«Gather Data Sampling (GDS) — это временная уязвимость побочного канала выполнения, которая затрагивает некоторые процессоры Intel. В определенных сценариях во время выполнения инструкции сбора, включающей определенную загрузку памяти, злоумышленник может использовать этот тип инструкции для извлечения устаревших данных из ранее использованных векторных регистров. Эти регистры могут соответствовать тем, которые используются тем же потоком или его родственным потоком на том же ядре процессора».
Смягчение последствий, влияющих на производительность
Корпорация Intel официально признала, что эту уязвимость можно устранить с помощью обновления микрокода или обновления платформы Intel. Рекомендуется быстрое внедрение рекомендуемого обновления для эффективного устранения уязвимости.
Как обычно, мы сталкиваемся с типичной загадкой: нарушением безопасности, которое требует установки исправлений с помощью программных средств, что неизбежно влияет на производительность. Примечательно, что сходство с уязвимостями Spectre и Meltdown поразительно, из чего можно сделать вывод, что эти уязвимости якобы устранялись, начиная с 9-го поколения процессоров Intel.