Linux可能会获得针对超线程攻击的保护

图片来源：Shutterstock

Oracle安全研究人员一直致力于Linux内核的安全功能，可以保护基于Linux的系统免受影响英特尔超线程（HT）功能的攻击。在过去的几个月中，已经披露了该功能易受攻击的多个侧通道威胁，包括L1TF / Foreshadow和MDS攻击。

甲骨文开发人员没有说明最近针对英特尔HT的MDS攻击是否也会通过其内核地址空间隔离（KASI）得到缓解，只是它可以防止L1TF / Foreshadow。其他侧通道攻击似乎备受争议，因为引入内核的任何额外隔离都可能会影响Linux系统的性能。

内核地址空间隔离

Oracle团队首先提出了基于内核的虚拟机（KVM）地址空间隔离解决方案，以便将KVM的地址空间与内核的其余部分以及用户空间隔离开来。但是，该团队现已发布了作为框架重新设计的功能的实验版本2。这意味着各种内核级应用程序可以隔离它们的地址空间。

研究人员还将KVM地址空间隔离功能重命名为KASI。代码仍然是一个概念证明，但它已经被认为比缓解功能的第一个版本更稳定。

他们现在正在寻找有关如何在将功能合并到Linux内核的官方版本之前改进功能的建议。

英特尔超线程安全漏洞

去年，英特尔的HT CPU功能TLBleed和L1TF / Foreshadow遭遇了两次主要的旁道攻击。

当TLBleed首次向公众推出时，OpenBSD（一个开源的，以安全为中心的操作系统）的创始人Theo de Raadt宣布HT将在OpenBSD系统上被禁用。 OpenBSD创始人还警告说，在不久的将来可能会出现更多的HT漏洞。几个月后，L1TF / Foreshadow的漏洞也被曝光，OpenBSD的创始人开始鼓励大家禁用英特尔的HT。

然而，直到MDS侧通道攻击出现，Google和Apple才开始认真对待这些建议。谷歌在Chromebook上禁用了HT，但在推荐禁用HT作为针对MDS攻击的额外安全措施时停止了。甚至英特尔也承认有些客户应该考虑在他们的系统上禁用HT。