Återigen går diskussionen mot säkerhetsfrågor som plågar olika processorer på marknaden. Den här gången är det värt att lyfta fram det gemensamma erkännandet från Intel och Microsoft angående en sårbarhet som påverkar dussintals Intel-processorer. Problemet ligger i det faktum att åtgärda detta fel i Intel-processorer innebär en betydande kompromiss i prestanda.
Efter avslöjandet av sårbarheter som Spectre och Meltdown, som främst var inriktade på Intel-processorer, har en rad ytterligare sårbarheter kommit fram. Spridningen av sådana frågor härrör från den ökade granskningen som tillämpas på kiselnivå. Dessförinnan grävde utredningarna inte lika djupt, men behovet av sådan granskning har otvetydigt påvisats.
Sedan dess har en ökning av dessa säkerhetssårbarheter uppstått, vilket sedan påverkar prestandan. Det är viktigt att erkänna att de lösningar som utarbetas i sig leder till en försämring av systemets övergripande prestanda.
Intel står inför sårbarhetsutmaningen ännu en gång
Än en gång finner Intel sig själv brottas med säkerhetsbrister. Fokuspunkten för oro den här gången är en sårbarhet som riktar sig till den transienta eller spekulativa exekveringssidokanalen. Denna brist, känd som Gather Data Sampling (GDS) eller alternativt "Downfall", har tilldelats den tekniska identifieraren CVE-2022-40982.
Effekten av denna sårbarhet sträcker sig över Intel-processorer från den 7:e generationen till den 11:e generationen. Speciellt tycks processorer från 12:e generationen (Alder Lake) och 13:e generationen (Raptor Lake) vara undantagna från detta problem. Dessa senaste generationer innehåller Trust Domain eXtension (TDX), en funktion som effektivt isolerar virtuella maskiner (VM) från virtuella maskinhanterare (VMM).
Denna isolering skapar en skyddad miljö som liknar ett bubbelliknande system, där hårdvaruisolerade virtuella maskiner i huvudsak betecknas som "betrodda domäner."
Ett Microsoft-dokument som är länkat till KB5029778-patchen förklarar:
"Microsoft är medvetet om en ny övergående körningsattack som kallas Data Collection Sampling (GDS) eller 'Drop'. Denna sårbarhet kan användas för att härleda data från påverkade processorer över säkerhetsgränser som användarkärna, processer, virtuella maskiner (VM) och betrodda exekveringsmiljöer."
Intels förklaring av Downfall omfattar följande processorer:
- 7:e generationen (Kaby Lake)
- 8:e generationen (Coffee Lake)
- 9:e generationen (uppdatering av Coffee Lake)
- 10:e generationen (Comet Lake)
- 11:e generationen (Rocket Lake på dator/Tiger Lake på mobil)
Det är anmärkningsvärt att de tidigare nämnda processorerna saknar Trust Domain eXtension, en funktion som introducerades från den 12:e generationen och framåt. Enligt Intels förklaring:
"Gather Data Sampling (GDS) är en övergående exekveringssidkanalsårbarhet som påverkar vissa Intel-processorer. I specifika scenarier, under en insamlingsinstruktion som involverar vissa minnesbelastningar, kan en illvillig angripare utnyttja denna instruktionstyp för att härleda inaktuella data från tidigare använda vektorregister. Dessa register kan motsvara de som används av samma tråd eller dess syskontråd på samma processorkärna."
Prestandapåverkande begränsning
Intel har officiellt erkänt att denna sårbarhet kan åtgärdas genom en mikrokoduppdatering eller en Intel-plattformsuppdatering. Snabb implementering av den rekommenderade uppdateringen rekommenderas för att effektivt mildra sårbarheten.
På bekant sätt möter vi den typiska gåtan: ett säkerhetsbrott som kräver korrigering genom mjukvarumedel, vilket oundvikligen påverkar prestandan. Anmärkningsvärt är likheten med Spectre- och Meltdown-sårbarheterna slående, med slutsatsen att dessa sårbarheter till synes löstes från och med den 9:e generationen av Intels processorer.