Gadgetshowto
Intel's processors zijn gevonden die een ernstige beveiligingsfout die kan worden gebruikt om CPU-activiteit te manipuleren en te kapen. Helaas is de fout zo groot dat oplossen omvat het wijzigen van OS-kernels welke zal systemen vertragen tot 30%.
Een bericht op PostgreSQL onthulde de kwetsbaarheid in de Linux-kernel, wat wees op een wijdverbreid CPU-probleem en de resulterende oplossing die de prestaties zal beïnvloeden.
Terwijl Intel de details van de tekortkoming verbergt stuurde een update naar de fast-ring bètatesters in het Windows Insider-programma, en een volgende patch voor deze maas in de wet zal naar verwachting stabiele builds bereiken op de komende dinsdag, d.w.z. 9 januari 2018.
hetzelfde, Apple zal ook macOS moeten updaten om het probleem te omzeilen, en net als bij concurrerende besturingssystemen, zal de oplossing Macs langzamer maken.
De wortel van de beveiligingslek zit in de toewijzing van virtuele geheugenruimten op de pit. Deze ruimtes worden door de CPU gebruikt om processen uit te voeren die interageren met de hardware en niet zichtbaar zijn voor de gebruiker. Aangezien de fout beruchte programma's en malafide gebruikers toegang geeft tot deze virtueel toegewezen ruimtes, is het laatste redmiddel - in feite de enige - om isoleer de kernelpaginatabel of de database van de virtuele adressen.
Hier is een herkenbare analogie:
U bent in een supermarkt en uw doel is om een cake te kopen - dit is een proces dat door de gebruiker wordt geïnitieerd. Je pakt de cake op en gaat naar de factureringsteller - of de CPU - waar een factureringsmedewerker (ook bekend als kernel) je de cake in rekening brengt door de details in het factureringssysteem (microkernel) in te voeren en het proces wordt voltooid terwijl je wegloopt met de cake.
Het probleem doet zich voor wanneer de factureringsmedewerker het factureringssysteem van de winkel gebruikt en een andere klant (dwz gebruiker of programma) in het systeem gluurt om wat geld van de kassa te stelen (dwz gebruik CPU-bronnen) of snuffelt in uw aankoop (meeliften om te bespioneren uw activiteiten).
De oplossing is om een kiosk te creëren waar geen enkele klant - bedrieglijk of vriendelijk - kennis heeft van het beschikbare geld of de voorraad in de winkel. Maar nu moet de winkel een toegewijde manager ("Kernel Page Table Isolation") inzetten om de factureringstaken te voltooien. Hoewel deze waakzame manager alert is op het beveiligen van informatie, voegt dit een extra stap toe aan het factureringsproces, dus uw taart wordt een beetje vertraagd.
Evenzo is de toevoeging van een isolatieprotocol vertraagt gebruikersprocessen om kwaadwillende gebruikers of malware af te weren van rondneuzen in de beschermde gegevens in het kernelgeheugen.
AMD-processors die niet worden beïnvloed door de fout:
AMD heeft in een e-mail aan The Register beweerd dat het processors geven automatisch prioriteit aan taken zonder gevoelige informatie te catalogiseren over de processen in een virtuele database. Hierdoor zijn ze beveiligd tegen aanvallen waar de processors van Intel gevoelig voor zijn.
AMD-processors zijn niet onderhevig aan de soorten aanvallen waartegen de isolatiefunctie van de kernelpaginatabel beschermt. De AMD-microarchitectuur staat geen geheugenreferenties toe, inclusief speculatieve referenties, die toegang hebben tot hoger geprivilegieerde gegevens wanneer deze in een minder geprivilegieerde modus worden uitgevoerd wanneer die toegang zou resulteren in een paginafout.
Ondertussen hebben bedrijven die Intel's hardware gebruiken voor online databases en cloudservers - waaronder Amazon AWS - gebruikers geïnformeerd over een belangrijke inkomende patch zonder het probleem uit te leggen, vooral met betrekking tot de vertragingen.
