Nem jól indul az év az Intel számára, ugyanis láthatóan idő előtt kiderült egy hardveres hiba, amely a jelenlegi adatok szerint érinti a vállalat összes modernebb processzorát. Nemrég ugyanis Linus Torvalds beolvasztotta a kernelfájljába a kernel laptábla izolációját, amely segít a felhasználói és a kernelmemória jobb elszigetelésében.

Ez elvileg a jobb biztonságot szolgálná, de végül kiderült, hogy valójában azért van rá szükség, mert az Intel processzoraiban egy olyan tervezési hibára lettek figyelmesek, amelyet nem lehetett szimplán mikrokódfrissítéssel megoldani, így magasabb szinten, vagyis lényegében az operációs rendszeren belül kellett javítani a problémát. Itt alapvetően arról van szó, hogy a Linux (és más modernebb operációs rendszerek) korábban úgy dolgoztak, hogy a felhasználói szintű kódok, vagyis az alkalmazások futtatásakor a teljes kernelmemória leképezésre került a laptáblákba, miközben persze védve volt. Ennek az az előnye, hogy ha az adott alkalmazás például egy rendszerhívást intéz a kernel felé, akkor az gyorsan elérhető, tehát az esetleges kontextusváltásból eredő többletterhelések nagy hatékonysággal iktathatók ki.

A fenti modell kialakításában sokat segített az ASLR (address space layout randomization) technika, amit még az előző évtizedben fejlesztettek ki, és ez megnehezítette a kernel oldali sebezhetőségek kihasználását. Az Intel processzoraiban azonban egy olyan hardveres hiba van, ami lehetővé tesz bizonyos külső támadásokat, amelyek magát az implementációt érintő hardveres problémákat kihasználva hozzáférhetnek a memóriában tárolt adatokhoz, ezen belül is a kernelmemóriához.

Lényegében a fentiek miatt készült el a kernel laptábla izolációja, ami gyakorlatilag teljesen elszeparálja a felhasználói és a kernelszintű laptáblákat, aminek a hátránya a megnövekedő többletterhelés. Persze az újabb Intel processzorokkal a TLB, vagyis a translation lookaside buffer kiürítése elkerülhető a PCID-t (process context identifiers) használva, de az egyéb többletterhelések már nem, így azoknál az alkalmazásoknál, amelyek viszonylag sok rendszerhívást vagy megszakítást igényelnek, a teljesítmény akár 30%-kal is eshet. Az ebből a szempontból finomabb munkafolyamatok során nagyjából 5%-os tempóvesztéssel lehet számolni.

További részletek a Prohardveren.

Kiegészítés: Az AMD processzorai nem érintettek - jelenlegi ismereteink szerint. Az első, már beolvasztott patch minden CPU-t hibásnak jelzett, de az AMD a LKML szerint beküldött egy olyan javítást, amely az AMD processzoroknál kikapcsolja ezt a további védelmet.

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against.  The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Tehát az AMD nem érintett abban a támadási formában ami ellen a kernel page table isolation védene. Az eredetileg beküldött patch az AMD processzorait is hibásnak jelölte. A Phoronix-en megjelent tesztek szerint, a játékokat nem igazán, azonban az I/O érzékeny alkalmazásokat (adatbázis-kezelő, virtualizáció, sok fájlrendszer-műveletet végző alkalmazások) meglehetősen érinti ez a hibajavítás.

Bár az AMD nem érintett a hibában, a legújabb fejlesztés alatt álló kernel egyelőre hibásként ismeri fel.

(Forrás: Prohardver, Phoronix)