Linux獲得選項來禁用因特爾TSX 以防止Zombieload v2攻擊

Microsoft和Linux內核團隊都增加了禁用對Intel事務同步擴展(TSX)支持的方法。

TSX是英特爾公司的技術，它通過Zombieload v2漏洞打開公司的CPU，使其免受攻擊。

Zombieload v2是漏洞的代號，該漏洞允許惡意軟件或惡意威脅參與者提取CPU內部處理的信息，這些信息通常由于現代CPU內部的安全墻而無法訪問。

本周早些時候披露了這個新的漏洞。英特爾表示，它將發(fā)布微碼(CPU固件)更新--可在公司的支持和下載中心獲得。

但是，真實的生產環(huán)境的現實是，性能很重要。以往針對其他攻擊的微碼更新，如熔毀、幽靈、預兆、Fallout和Zombieload v1，都被認為會帶來高達40%的性能點擊量。

考慮到上面列出的所有CPU攻擊不僅是理論上的，而且很難實現，一些公司并不認為這種性能受到影響是一種選擇。

許多人跳過應用微碼更新，或者即使應用了微碼更新，他們也禁用了允許攻擊表面的技術，如果他們不使用它，只是為了確保它們不會受到任何攻擊或性能下降的影響。

本周早些時候，微軟發(fā)布了有關系統管理員如何使用英特爾的TSX來使用注冊表項的指南。

它們可以通過以下注冊表設置禁用TSX：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d1/f

當他們再次需要TSX時，他們可以通過以下方式重新啟用它：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d0/f

在管理員已經應用英特爾微碼更新的Linux系統上，現在也有一個模型專用寄存器(Msr)可以用于禁用tsx。細節(jié)在這里。

自2013年哈斯韋爾線發(fā)布以來，TSX一直與英特爾CPU一起發(fā)貨。根據英特爾的官方安全建議，下列CPU系列受到影響：

產品收藏

產品名稱

垂直部分

第10代英特爾核心?處理器系列

Intel Core?處理器i7-10510Y，i5-10310Y Intel Core?處理器i5-10210Y，i5-10110Y

英特爾核心?處理器I7-8500Y

英特爾核心?處理器i5-8310Y，i5-8210Y，i5-8200Y Intel核心?處理器M3-8100Y

806EC

第二代Intel Xeon可擴展處理器

英特爾Xeon白金處理器8253、8256、8260L、8260M、8260Y、8268、8270、8276、8276L、8276M、8280、8280L、8280M、9220、9221、9222、9242、9282。

Intel Xeon Gold處理器5215、5215 L、5215 M、5215R、5217、5218、5218 B、5218N、5218 T、5220、5220 R、5220 S、5220 S、5220 T、5222、6222 V、6226、6230、6230N、6230T、6234、6238、6238、6238 L、6238 M、6238 T、6240、6240 L、6240 M、6240 Y、6242、6244、6246、6248、6252、6252、6252、6252、6252、6262 V

Intel Xeon銀處理器4208、4208 R、4209 T、4210、4210R、4214、4214C、4214R、4214Y、4215、4216、4216R

Intel Xeon青銅處理器3204，3206R

五萬零六百五十七

Intel Xeon W處理器系列

Intel Xeon處理器W-3275、W-3275、W-3265 M、W-3265、W-3245 M、W-3245、W-3235、W-3225、W-3223、W-2295、W-2275、W-2265、W-2255、W-2245、W-2235、W-2225、W-2223

五萬零六百五十七

第9代英特爾核心?處理器系列

英特爾?酷睿?處理器i9-9980HK、9880H英特爾?酷睿?處理器i7-9850H、9750HF英特爾?酷睿?處理器i5-9400H、9300H

906ED

第9代英特爾核心?處理器系列

英特爾核心?處理器i9-9900K，i9-9900KF

英特爾核心?處理器i7-9700 K，i7-9700 KF

英特爾核心?處理器i5-9600K，i5-9600KF，i5-9400，i5-9400F

906ED

Intel Xeon處理器E系列

Intel Xeon處理器E-2288G，E-2286M，E-2278GEL，E-2278GE，E-2278G

工作站/服務器/AMT服務器

906 ED

第10代英特爾核心?處理器系列

Intel Pentium Gold處理器系列

Intel Celeron處理器5000系列

英特爾核心?處理器I7-10510U

英特爾核心?處理器i5-10210U

Intel Pentium Gold處理器6405 U

Intel Celeron處理器5305 U

806EC

第8代英特爾核心?處理器

英特爾核心?處理器i7-8565U，i7-8665U

英特爾核心?處理器i5-8365U，i5-8265U

806EC