内核内存泄露,Intel处理器设计缺陷迫使Linux, Windows重新设计
或许其它OS也需要修复
最后更新:Intel处理器基础的设计缺陷迫使Linux和Windows内核重新设计来修复这个芯片级别的bug。
程序员们正在全面检查开源的Linux内核虚拟内存系统。同时,Windows可能会在周二的补丁公布修复措施:这些措施已经在十一月和十二月Windows Insider的测试版中。
但是,这些升级对基于Intel芯片的Linux和Windows会有性能上的影响。这些影响仍在评估(基于任务和处理器型号可能会有30%的下降)。
PostgreSQL SELECT 1 with the KPTI workaround for Intel CPU vulnerability https://t.co/N9gSvML2Fo
Best case: 17% slowdown
Worst case: 23%— The Register (@TheRegister)
January 2, 2018
类似的系统,比如苹果64位的macOS,也需要升级,这个缺陷是在Intel X86-64硬件级别的,通过微代码的形式来修复是不可能的。它只能通过操作系统级别来修复,或者重新买一个没有设计缺陷的处理器。
影响
这个bug在近近几十年的现代处理器里都有。它允许普通用户程序-从数据库应用到浏览器里的JavaScript,来读取访问受保护的内核内存区域。
解决办法是将内核内存完全从用户进程中分类出来,通过使用Kernel Page Table Isolation(KPTI)。
当运行一些程序进行必要的操作时,比如写入文件或者打开一个网络连接-它就可以临时控制处理器以及内核来执行任务。为了使从用户态到内核态的互相转换尽可能的快,内核会在所有进程的虚拟内存地址空间展现,尽管它对程序不可见。当内核被需要时,程序会启动系统调用,处理器会转换为内核态进入内核。当它完成之后,CPU会被告知转换为用户态,然后重新进入进程。当在用户态时,内核的代码和数据仍然不可见,但是会在进程的页表展现(page table)。
想象内核是一个在云端的上帝,看着地球。他就在那,但是任何正常的事物都看不见它,当然你可以祈祷来看见他。
KPTI补丁将内核移动到一个完全不同的地址空间,所以它不仅对运行的进程不可见,它甚至不在那。尽管这不需要,但是这个缺陷会通过某些方法访问到内核。
这种分离措施的负面影响相对来说代价较大,为了保持在两个分散开的地址空间进行切换(每次系统调用,每次来此硬件的中断)。这些上下文的切换并不是即时生效的,它们会迫使处理器清除掉缓存数据然后从内存中重新载入,导致计算机处理速度的下降。
这个安全漏洞如何被利用
最好的情况,这个漏洞被恶意软件和黑客利用来更容易的渗透其他安全漏洞。
最坏的情况,这个漏洞被程序和登陆用户来读取内核内存的内容。这就很恐怖了。内核内存空间对用户进程和程序是隐藏的,因为它可能包含各种各样的秘密,比如密码,登陆密钥,磁盘的文件缓存等等。想象一段运行在浏览器的JavaScript,或者运行在云服务器上的恶意程序,可以嗅探到敏感的内核数据。
在最好的场景中,利用这个缺陷可以用来打败KASLR:kernl address space layout randomization。这是被各种各样的操作系统用来把内核的组件放在随机的虚拟内存的地址中。这种措施可以打败那些想要在内核利用其他Bug的尝试,典型的:渗透代码,特别是return-oriented programming exploits,这种渗透依赖在已知的内存地址重用计算机指令。
如果你随机的把内核代码放在内存,渗透者就找不到她们需要的内部部件来渗透电脑。处理器漏洞可以被利用来找出内核放在内存中数据和代码,所以将会有大量的软件补丁。
然而,英特尔芯片的漏洞可能比上述更糟糕。在圣诞节期间发往Linux内核邮件列表的一封电子邮件中,AMD称它没有受到影响。
AMD处理器不受内核页表隔离特性保护的攻击类型的限制。AMD的结构不允许的内存引用,包括投机参考,访问权限较高的数据在一个较小的特权模式运行时,访问将导致页面故障。
这里的一个关键词是“投机”(speculative),像英特尔这样的现代处理器执行推测性执行。为了使内部管道遵守指令,CPU核心尽可能猜测接下来要运行什么代码,取它并执行它。
AMD公司的软件工程师Tom Lendacky说,英特尔的CPU在执行speculatively代码时可能没有执行安全检查。似乎可以以这样一种方式来编写软件,使处理器开始执行通常会被阻塞的指令(例如从用户模式读取内核内存),然后在特权级别检查发生之前完成该指令。
这将会允许ring-3-level的用户代码来读取ring-0-level的内核数据。这很不好。
该漏洞的具体细节还没有得到证实,但请考虑一下:Linux和Windows的更新非常重要,正在快速推出。这表明它比KASLR旁路更严重。
同时,为了分离内核和用户地址空间,Linux上的更新是基于一套修复被称为KAISER的补丁,这是在奥地利格拉茨科技大学的科学家创造的。这些研究人员发现可以通过从CPU上的虚拟内存系统的侧信道攻击内核和内存布局信息来打败KASLR。研究小组建议拆分内核和用户空间以防止信息泄漏,他们的研究引发了这一轮补丁。
他们的工作由在七月写了下面博客的Anders Fogh验证。这篇文章描述了他试图通过滥用推测执行从用户模式读取内核内存的尝试。尽管Fogh无法拿出任何工作的概念证明代码,他指出:
我的结果表明,尽管内核模式和用户模式之间存在隔离,但投机执行确实仍在继续。
看来KAISER与Fogh的研究相关,利用虚拟内存布局打破KASLR的实用方法,团队可能已经证明Fogh是正确的,英特尔的x86芯片推测执行可以被利用来访问内核内存。
共享系统
这个bug会影响很多知名的云服务器提供商,包括Amazon EC2, Microsoft Azure, Google Computer Engine,源于一位软件开发人员在博客和Twitter上发表的一篇文章:
目前的安全漏洞显然影响当代英特尔的CPU架构,完全解决需要实现虚拟内存以及硬件的变化。软件的紧急开发正在公开中进行,最近在Linux内核中实现,类似的措施在十一月会出现在NT内核中。在最坏的情况下,修复措施将在典型工作负载下造成明显的性能下降。
潜在的受攻击者包括常见的虚拟化环境,比如Amazon EC2和Google Computer Engine…
Microsoft Azure Cloud–运行大量的Linux以及Windows–将在1月10日进行维护和重新启动,想必会修复上述bug。
Amazon Web Service还通过电子邮件警告客户,预计本星期五将发布一项重大安全更新,但不涉及细节。
英特尔发言人没有置评。
扫一扫
307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
