Linux可能会获得针对超线程攻击的保护
图片来源:Shutterstock
Oracle安全研究人员一直致力于Linux内核的安全功能,可以保护基于Linux的系统免受影响英特尔超线程(HT)功能的攻击。在过去的几个月中,已经披露了该功能易受攻击的多个侧通道威胁,包括L1TF / Foreshadow和MDS攻击。
甲骨文开发人员没有说明最近针对英特尔HT的MDS攻击是否也会通过其内核地址空间隔离(KASI)得到缓解,只是它可以防止L1TF / Foreshadow。其他侧通道攻击似乎备受争议,因为引入内核的任何额外隔离都可能会影响Linux系统的性能。
内核地址空间隔离
Oracle团队首先提出了基于内核的虚拟机(KVM)地址空间隔离解决方案,以便将KVM的地址空间与内核的其余部分以及用户空间隔离开来。但是,该团队现已发布了作为框架重新设计的功能的实验版本2。这意味着各种内核级应用程序可以隔离它们的地址空间。
研究人员还将KVM地址空间隔离功能重命名为KASI。代码仍然是一个概念证明,但它已经被认为比缓解功能的第一个版本更稳定。
他们现在正在寻找有关如何在将功能合并到Linux内核的官方版本之前改进功能的建议。
英特尔超线程安全漏洞
去年,英特尔的HT CPU功能TLBleed和L1TF / Foreshadow遭遇了两次主要的旁道攻击。
当TLBleed首次向公众推出时,OpenBSD(一个开源的,以安全为中心的操作系统)的创始人Theo de Raadt宣布HT将在OpenBSD系统上被禁用。 OpenBSD创始人还警告说,在不久的将来可能会出现更多的HT漏洞。几个月后,L1TF / Foreshadow的漏洞也被曝光,OpenBSD的创始人开始鼓励大家禁用英特尔的HT。
然而,直到MDS侧通道攻击出现,Google和Apple才开始认真对待这些建议。谷歌在Chromebook上禁用了HT,但在推荐禁用HT作为针对MDS攻击的额外安全措施时停止了。甚至英特尔也承认有些客户应该考虑在他们的系统上禁用HT。