Mange generasjoner med Intel-prosessorer skal ha en svært alvorlig designfeil. Heldigvis kan den motvirkes med programvare, men det har sin pris.
Mange generasjoner med Intel-prosessorer skal ha en svært alvorlig designfeil. Heldigvis kan den motvirkes med programvare, men det har sin pris. (Foto: Intel)

Kernel Page Table Isolation

Alvorlig designfeil i Intel-prosessorer kan rettes i programvare

Men det har sin pris.

Langt mer har blitt kjent siden denne saken ble publisert. De nye opplysningene er omtalt her: CPU-problemene gjelder langt fra bare Intel

Det har blitt funnet en fundamental designfeil i prosessorer fra Intel som tilsynelatende ikke kan rettes i prosessorenes mikrokode. I stedet må den rettes gjennom en større endring i mange operativsystemer.

Feilen skal i verste fall kunne gjøre det mulig for ondsinnet programvare eller innloggede brukere å få tilgang til data som oppbevares i det logisk separerte og beskyttede kernel-minnet. Dette kan blant mye annet også inkludere passord og krypteringsnøkler. Ikke minst på servere som deles av flere brukere, for eksempel i nettskytjenester eller hos webhoteller, kan dette utgjøre en risiko. 

Flytter isolasjonen til operativsystemet

Ifølge The Register, som har publisert en ganske omfattende artikkel om designfeilen, så er det foreløpig lite informasjon som har blitt offentliggjort om feilen. Dette skyldes at ikke alle operativsystemer har kommet med sikkerhetsoppdateringene som i stor grad skal løse problemet. 

Men fordi patcher til Linux-kjernen allerede skal være tilgjengelig, er det mulig å få en viss forståelse av hva dette handler om. Patchene separerer kernel-minnet fullstendig fra brukerprosessen ved hjelp av en teknikk som kalles for Kernel Page Table Isolation (KPTI). Teknikken har blitt utviklet av forskere ved Universitetet i Graz, som omtalte den som KAISER.

Flere detaljer om Linux-patchene finnes i denne artikkelen.

Les også: Alvorlig Intel-sårbarhet kan utnyttes selv når pc-en er av

Ikke AMD

Først og fremst ser det ut til at det dreier seg om problem som kun gjelder 64-bit-delen av Intels prosessorer som er produsert det siste tiåret eller så. Problemet gjelder ikke AMD-prosessorer, og en bekreftelse på dette forklarer muligens hvor problemet ligger, nemlig i forbindelse med spekulative minnereferanser som resulterer i sidefeil. Det er mulig at slik spekulativ kjøring av kode, noe alle prosessorer gjør, skjer før kontrollen av privilegiumnivået utføres i Intels prosessorer. 

Men inntil mer informasjon om designfeilen blir offentliggjort, er det ikke sikkert at dette er tilfellet.

Ytelsestap

Fordi KPTI kan innebære en betydelig redusert ytelse ved kjøring av enkelt oppgaver, i alle fall oppgaver som er I/O-intensive, fraråder AMD at KPTI aktiveres på systemer med AMD-prosessor.

Foreløpige tester gjort med PostgreSQL-databasen viser at ytelsen til enkelte SQL-operasjoner kan bli redusert med opptil 23 prosent med KPTI aktivert i Linux. Med nyere Intel-prosessorer skal ytelsesreduksjonen være mer begrenset, skriver The Register.

Det er ventet at mer informasjon vil bli gjort tilgjengelig når Microsoft kommer med de relaterte oppdateringene til Windows. Det er ventet at det vil skje tirsdag i neste uke.

Også andre leverandører av operativsystemer som kan kjøres på Intels x64-prosessorer vil sannsynligvis gi ut tilsvarende oppdateringer i løpet av kort tid. Dette gjelder også Apple.

Leste du denne? PC-produsenter har begynt å deaktivere Intels Management Engine

Kommentarer (27)

Kommentarer (27)
Til toppen