¿El hardware reciente de Intel mitiga el Meltdown en el nivel del hardware?

11

Recientemente un investigador de seguridad hizo la siguiente declaración a través de Twitter (énfasis agregado):

  

Si está ejecutando Windows, estoy a punto de publicar una herramienta que verifica si tiene aplicadas las "Variante 3: carga de caché de datos fraudulentos (CVE-2017-5754)" alias #Meltdown parches, y si tiene hardware Intel más reciente que parece mitigar a nivel de hardware. Esto utiliza una nueva API no documentada enlace

También se expandió un poco para decir:

  

Parece que hay un nuevo bit CPUID y MSR en los modelos 0x36 y posteriores.

No estoy seguro de si / cómo puedo verificar este posible descubrimiento de los investigadores, así que no sé si esto es cierto.

¿El hardware reciente de Intel mitiga el Meltdown en el nivel del hardware? Si es así, ¿cómo y qué tan bien, y en qué hardware?

    
pregunta Alexander O'Mara 05.01.2018 - 15:23
fuente

2 respuestas

4

Las CPU Intel recientes tienen PCID. PCID ayuda mucho con el impacto en el rendimiento, ya que sin él, debe separar por completo el TLB del kernel del TLB del espacio de usuario. (* Ok, no completamente, pero en su mayoría). Si tiene PCID, entonces el hardware tiene una característica adicional para evitar la pérdida de rendimiento por falta de memoria caché que normalmente ocurre cuando lo hace.

Para responder a su pregunta principal, PCID ayuda con los problemas de rendimiento de la solución para Meltdown, pero no corrige Meltdown. Aún debe asegurarse de tener un kernel con KPTI en Linux o las correcciones de kernel similares en otros sistemas operativos.

Referencias: enlace enlace enlace

    
respondido por el Jacob Brown 11.01.2018 - 05:53
fuente
2

Busqué en el código fuente de la herramienta escrita por Alex Ionescu en su página de github . En resumen: esta herramienta verifica si la predicción de ramificación está habilitada para su procesador o no. Todavía no he encontrado una fuente, pero me parece que es posible deshabilitar completamente la predicción de rama y, por lo tanto, "mitigar" la inyección de objetivo de rama. Pero esta parece ser una opción solo disponible para los procesadores Intel más nuevos. Volveré más tarde para ver si puedo encontrar una fuente original para eso.

Sin embargo, lo que puedo decir es que, si lo anterior es cierto, parece haber un cierto nivel de mitigación en el nivel de hardware. No debido a la arquitectura de estos procesadores, sino porque puede configurarlos de cierta manera "a nivel de hardware". lo que personalmente creo que no es una buena redacción para esto.

Microsoft, mientras tanto, lanzó su herramienta que hace prácticamente lo mismo (verifica ciertas configuraciones y entradas de registro). Hay algo aquí, que se llama " Soporte de hardware para la mitigación de la inyección de destino de sucursal ".

Revisé los Tweets de Ionescu y encontré esto .

  

Ahora que los MSR y los comandos están documentados en el excelente documento técnico de Intel, [...] he actualizado SpecuCheck esa es su herramienta para abordar algunas de sus suposiciones incorrectas (por lo que debería estarlo) utilizando el script oficial de PowerShell!).

     
  • Alex Ionescu, 06.01.2018
  •   

No hay más salida para ninguna mitigación en el nivel de hardware. Aún no estoy seguro, qué es lo que está generando la herramienta de Microsoft.     

respondido por el Tom K. 05.01.2018 - 17:12
fuente

Lea otras preguntas en las etiquetas