英特尔发布了新的CPU微码,用于解决五个安全问题,此外,还有新合并的Linux内核代码,用于缓解影响Atom/E内核的新的寄存器堆数据采样“RFDS”微体系结构漏洞。
英特尔发布了更新的处理器微码,用于缓解SA-00972、SA-00982、SA-00898、SA-00960和SA-01045。这些安全建议针对导致潜在拒绝服务的英特尔处理器总线锁问题、通过处理器返回预测的信息泄漏向量、中等级别的RFDS漏洞以及第三代/第四代至强SGX/TDX特权升级漏洞提供缓解。
此外,新的CPU微码还针对未指明的功能问题进行了更新,从酷睿超“流星湖”到第七代酷睿处理器,以及第四代至强可伸缩处理器到第二代至强可伸缩处理器。此次微码发布也是英特尔首次发布适用于Meteor Lake和Emerald Rapids处理器的新CPU微码文件。
新的英特尔CPU微码文件可从下载GitHub。
同时合并对于Linux Git来说,寄存器文件数据采样的RFDS缓解。该漏洞存在于恶意用户空间,该用户空间能够从内核空间推断过时的寄存器值。由于内核寄存器可能具有机密,因此缓解措施是在返回用户空间之前清除寄存器中的值。
寄存器文件数据采样会影响来自Goldmont、Tremont、Alder Lake、Raptor Lake和Gracemont内核的Intel Atom/E内核。
缓解
=
英特尔发布了微码更新,使软件能够使用VERW指令清除敏感信息。与MDS一样,RFDS也部署了相同的缓解策略,以强制CPU在攻击者提取机密之前清除受影响的缓冲区。这是通过将未使用和过时的VERW指令与微码更新结合使用来实现的。微码在执行VERW指令时清除受影响的CPU缓冲区。缓解要点
VERW在返回到用户空间之前由内核执行,而KVM在VMentry之前执行。受影响的内核均不支持SMT,因此在C状态转换时不需要VERW。
We'll see if any of the microcode changes result in any performance changes on affected generations. Still digging through the advisories due to not being briefed in advance.