Il recente hardware Intel mitiga Meltdown a livello hardware?

Naviga le tue risposte
11

Recentemente un ricercatore di sicurezza ha presentato il seguente reclamo tramite Twitter (corsivo aggiunto):

If you're running Windows, I'm about to publish a tool that checks if you have the "Variant 3: rogue data cache load (CVE-2017-5754)" aka #Meltdown patches applied, and if you have newer Intel hardware that seems to mitigate at the hardware level. This uses a new undocumented API https://t.co/6sA8tehceg

Hanno anche espanso su questo un po 'per dire:

There’s a new CPUID bit and MSR on models 0x36 and later, looks like.

Non sono sicuro se / come posso verificare la possibile scoperta di questo ricercatori, quindi non so se questo è vero.

Il recente hardware Intel mitiga Meltdown a livello hardware? Se sì, come e quanto bene e su quale hardware?

    
posta Alexander O'Mara 05.01.2018 - 15:23
fonte

2 risposte

4

Le recenti CPU Intel hanno PCID. PCID aiuta molto con la performance hit perché senza di essa, devi completamente separare il TLB del kernel dal TLB userspace. (* Ok, non completamente, ma soprattutto). Se hai PCID, l'hardware ha una funzione extra per evitare la penalizzazione delle prestazioni dovuta ai problemi di cache che normalmente si verificano quando lo fai.

Per rispondere alla tua domanda principale, PCID aiuta con i problemi di prestazioni della soluzione alternativa per Meltdown, ma non risolve Meltdown stesso. Devi ancora assicurarti di avere un kernel con KPTI su Linux o le correzioni del kernel simili in altri sistemi operativi.

Riferimenti: link link link

    
risposta data 11.01.2018 - 05:53
fonte
2

Ho esaminato il codice sorgente dello strumento scritto da Alex Ionescu sulla sua pagina github . In breve: questo strumento controlla se la previsione del ramo è abilitata per il processore o meno. Non ho ancora trovato una fonte, ma mi sembra, che sia possibile disabilitare completamente la previsione delle branch e quindi "mitigare" l'iniezione del target branch. Ma questa sembra essere un'opzione disponibile solo per i nuovi processori Intel. Verificherò più tardi per vedere se riesco a trovare una fonte originale per questo.

Ciò che posso dire però è che, se quanto sopra è vero, sembra esserci un certo livello di attenuazione a livello hardware. Non a causa dell'architettura di questi processori, ma perché è possibile configurarli in un certo modo "a livello hardware". che personalmente ritengo non sia una formulazione valida per questo.

Microsoft nel frattempo ha pubblicato il suo strumento che praticamente fa la stessa cosa (controlla certe configurazioni e voci di registro). C'è qualcosa qui, che si chiama " Supporto hardware per attenuazione dell'iniezione target branch ".

Ho sfogliato i Tweet di Ionescu e ho trovato questo .

Now that the MSRs and commands are documented in Intel's excellent whitepaper [...], I've updated SpecuCheckthat's his tool to address some of its incorrect assumptions (which is why you should be using the official PowerShell Script!).

  • Alex Ionescu, 06.01.2018

Non c'è più output per nessuna mitigazione a livello hardware. Ancora non sono sicuro, cosa sta trasmettendo lo strumento Microsoft.

    
risposta data 05.01.2018 - 17:12
fonte

Leggi altre domande sui tag

Distingua tra il portale Captive Wi-Fi e l'attacco MitM Quanto è sicuro il traffico da contenitore a container della finestra mobile?