针对新安全漏洞的新英特尔CPU微码和“RFDS”Linux内核补丁

2024年 3月 13日 76.2k 0


英特尔发布了新的CPU微码,用于解决五个安全问题,此外,还有新合并的Linux内核代码,用于缓解影响Atom/E内核的新的寄存器堆数据采样“RFDS”微体系结构漏洞。

英特尔发布了更新的处理器微码,用于缓解SA-00972、SA-00982、SA-00898、SA-00960和SA-01045。这些安全建议针对导致潜在拒绝服务的英特尔处理器总线锁问题、通过处理器返回预测的信息泄漏向量、中等级别的RFDS漏洞以及第三代/第四代至强SGX/TDX特权升级漏洞提供缓解。

此外,新的CPU微码还针对未指明的功能问题进行了更新,从酷睿超“流星湖”到第七代酷睿处理器,以及第四代至强可伸缩处理器到第二代至强可伸缩处理器。此次微码发布也是英特尔首次发布适用于Meteor Lake和Emerald Rapids处理器的新CPU微码文件。

新的英特尔CPU微码文件可从下载GitHub。

同时合并对于Linux Git来说,寄存器文件数据采样的RFDS缓解。该漏洞存在于恶意用户空间,该用户空间能够从内核空间推断过时的寄存器值。由于内核寄存器可能具有机密,因此缓解措施是在返回用户空间之前清除寄存器中的值。

寄存器文件数据采样会影响来自Goldmont、Tremont、Alder Lake、Raptor Lake和Gracemont内核的Intel Atom/E内核。

缓解

=

英特尔发布了微码更新,使软件能够使用VERW指令清除敏感信息。与MDS一样,RFDS也部署了相同的缓解策略,以强制CPU在攻击者提取机密之前清除受影响的缓冲区。这是通过将未使用和过时的VERW指令与微码更新结合使用来实现的。微码在执行VERW指令时清除受影响的CPU缓冲区。

缓解要点

VERW在返回到用户空间之前由内核执行,而KVM在VMentry之前执行。受影响的内核均不支持SMT,因此在C状态转换时不需要VERW。

We'll see if any of the microcode changes result in any performance changes on affected generations. Still digging through the advisories due to not being briefed in advance.

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论