Intel offentliggør Specter & Meltdown Hardware Planer: Fast gear senere i år

Siden den offentlige åbenbaring af Meltdown og Specter CPU sårbarheder tidligt i år, Har Intel brugt næsten hele tiden i en reaktionær tilstand, fra det øjeblik sårbarhederne blev afsløret forud for tidsplanen. Siden da har virksomheden gjort fremskridt, omend ikke uden nogle væsentlige trin baglæns som fejlbehæftede mikrokod opdateringer. Men i de seneste uger synes virksomheden endelig at dreje sig om deres mest presserende problemer, og i morges frigiver en mere fremadrettet opdatering til deres sikkerhedsspørgsmål.

Hoppe lige til, hvad AnandTech-læsere vil overveje de største nyheder, Intel taler endelig om en fremtidig hardware. Intel annoncerer, at de har udviklet hardwarerettelser til både Meltdown and Specter v2 sårbarheder, som igen vil blive implementeret til fremtidige processorer. Både den næste version af Intels Xeon server / HEDT platform - Cascade Lake - såvel som nye 8th gen Core-processorer, der er sat til skib i andet halvår af dette år, vil omfatte afbødningerne.

For dem, der ikke er opdateret med deres Intel kodenavne, Cascade Lake er 14nm-opdateringen af ​​Intels nuværende Skylake-E / X-familie. Lidt officiel information er tilgængelig om Cascade Lake, men vigtigere for datacenterleverandører er der en klar tidsplan for, hvornår de kan forvente at få adgang til Meltdown og Specter-hærdet silicium til brug i nye virtuelle maskinservere. I betragtning af at virtuelle maskinværter var blandt de største risici her - og mere påvirket af præstationsregressionerne af softwarens Meltdown-reduktioner - er dette forståeligt nok det vigtigste marked for Intel at adressere.

I mellemtiden for at opdatere Intels forbrugspåner er dette lidt mere nøgen. Selvom Intel ikke har delt den komplette tekst af deres meddelelse med os før pressetiden, er deres specifikke formulering, at ændringerne vil blive inkluderet i 8th gen Core-processorer ", der forventes afsendt i anden halvdel af 2018." Intel har ikke sagde, hvilken processorfamilie disse er (f.eks. Cannon Lake?), eller for den sags skyld, om disse endda vil være traditionelle forbrugerchips eller bare Core HEDT udgivelser af Cascade Lake. Så her er der meget usikkerhed over, hvad dette vil medføre. I mellemtiden har vi nået til Intel om, hvordan forbrugerne vil kunne identificere efterbearbejdende chips, og mens vi stadig venter på et mere komplet svar, har Intel fortalt os, at de vil være gennemsigtige i sagen.

Hvad angår hardwareændringer sig, er det vigtigt at bemærke, at Intels ændringer kun mildner Meltdown (hvad Intel kalder "variant 3") og Specter variant 2. I begge tilfælde har virksomheden mildnet sårbarhederne gennem et nyt partitioneringssystem, der forbedrer både proces- og privilegiumniveau adskillelse, der går med en "beskyttende vægge" analogi.

Intels Meltdown & Specter Hardware Mitigations Plans (2018)
ExploitMitigation
Nedsmeltninghardware
Specter variant 1 (grænser check bypass)software
Specter variant 2 (gren target injektion)hardware

Desværre vil disse hardwareændringer ikke afbøde Specter variant 1. Og ganske vist har jeg ikke forventet Intel (eller nogen anden) at finde den ene ud i 2018. De bedste afbødninger til Specter v2 vil forblive udvikler-fokuserede software teknikker som retpolin.

Fangsten er, at den mere bekymrende risiko med Specter altid har været v1-varianten, da angrebet fungerer imod ret grundlæggende principper for spekulativ udførelse uden for ordre. Det har været grunden til, at den første undersøgelse af sårbarhedsklassen bemærkede, at forskerne ikke var sikre på, at de helt forstod den fulde dybde af problemet på det tidspunkt. Og det ser faktisk ud til, at industrien som helhed stadig forsøger at forstå sagen fuldt ud. Den ene sølvforing her er, at Specter v1 ikke er et privilegium eskalationsangreb, så det antages, at det kun kan bruges mod ensartede processer. Hvilket kan stadig bruges til masser af ondskab med brugerdata i andre applikationer på brugerniveau, men kan ikke nå frem til mere sikre processer.

Fortsæt, for Intels nuværende processorer, har virksomheden opdateret deres vejledning for at frigive modificerende mikrokod opdateringer. Fra sidste uge har firmaet frigivet produktionsmikrocode opdateringer for alle deres produkter, der blev udgivet i de sidste 5 år. Faktisk på Core arkitektur side går det endnu længere end det; Intel har nu udgivet mikrokod opdateringer til alle 2nd gen Core (Sandy Bridge) og nyere processorer, herunder deres Xeon og HEDT varianter. Der er nogle fremragende spørgsmål om, hvordan disse opdateringer vil blive leveret, da det ikke er sandsynligt, at producenterne vil frigive BIOS-opdateringer til bundkort, der går helt tilbage, men at dømme ud fra, hvordan Intel og Microsoft har samarbejdet hidtil, ville jeg forvente at se Disse microcode opdateringer frigives også til Windows Update på en eller anden måde.

Endelig vil Intel også gå endnu længere tilbage med deres mikrokod opdateringer. Deres seneste tidsplan kræver processorer, der er lige så gamle som Core 2 lineup for at få opdateringer, herunder 1st gen Core-processorer (Nehalem / Gulftown / Westmere / Lynnfield / Clarksfield / Bloomfield / Arrandale / Clarkdale) og 45nm Core 2-processorerne (Penryn / Yorkfield / Wolfdale / Hapertown), som ville dække de fleste Intel-processorer, der går tilbage til slutningen af ​​2007 eller deromkring. Det er værd at bemærke, at 65nm Core 2-processorer (Conroe, osv.) Ikke er på denne liste, men de sidstnævnte Core 2-processorer var heller ikke på listen på et tidspunkt.

Intels Core Architecture Meltdown & Specter v2 Mitigations
mikroarkitekturCore GenerationStatus
Penryn45nm Core 2Microcode Planning
Nehalem / Westmere1.Planlægning / Pre-Beta
Sandy bro2.Microcode Udgivet
Ivy Bridge3.Microcode Udgivet
Haswell4.Microcode Udgivet
Broadwell5.Microcode Udgivet
Skylake6.Microcode Udgivet
Kaby Lake7.Microcode Udgivet
Coffee Lake8.Microcode Udgivet
H2'2018 Core (Cannon Lake?)8.Hardware Immune
Cascade LakeXHardware Immune

Oprindelig artikel

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.