Linux獲得選項(xiàng)來禁用因特爾TSX 以防止Zombieload v2攻擊

Microsoft和Linux內(nèi)核團(tuán)隊(duì)都增加了禁用對(duì)Intel事務(wù)同步擴(kuò)展(TSX)支持的方法。

TSX是英特爾公司的技術(shù)，它通過Zombieload v2漏洞打開公司的CPU，使其免受攻擊。

Zombieload v2是漏洞的代號(hào)，該漏洞允許惡意軟件或惡意威脅參與者提取CPU內(nèi)部處理的信息，這些信息通常由于現(xiàn)代CPU內(nèi)部的安全墻而無法訪問。

本周早些時(shí)候披露了這個(gè)新的漏洞。英特爾表示，它將發(fā)布微碼(CPU固件)更新--可在公司的支持和下載中心獲得。

但是，真實(shí)的生產(chǎn)環(huán)境的現(xiàn)實(shí)是，性能很重要。以往針對(duì)其他攻擊的微碼更新，如熔毀、幽靈、預(yù)兆、Fallout和Zombieload v1，都被認(rèn)為會(huì)帶來高達(dá)40%的性能點(diǎn)擊量。

考慮到上面列出的所有CPU攻擊不僅是理論上的，而且很難實(shí)現(xiàn)，一些公司并不認(rèn)為這種性能受到影響是一種選擇。

許多人跳過應(yīng)用微碼更新，或者即使應(yīng)用了微碼更新，他們也禁用了允許攻擊表面的技術(shù)，如果他們不使用它，只是為了確保它們不會(huì)受到任何攻擊或性能下降的影響。

本周早些時(shí)候，微軟發(fā)布了有關(guān)系統(tǒng)管理員如何使用英特爾的TSX來使用注冊(cè)表項(xiàng)的指南。

它們可以通過以下注冊(cè)表設(shè)置禁用TSX：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d1/f

當(dāng)他們?cè)俅涡枰猅SX時(shí)，他們可以通過以下方式重新啟用它：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d0/f

在管理員已經(jīng)應(yīng)用英特爾微碼更新的Linux系統(tǒng)上，現(xiàn)在也有一個(gè)模型專用寄存器(Msr)可以用于禁用tsx。細(xì)節(jié)在這里。

自2013年哈斯韋爾線發(fā)布以來，TSX一直與英特爾CPU一起發(fā)貨。根據(jù)英特爾的官方安全建議，下列CPU系列受到影響：

產(chǎn)品收藏

產(chǎn)品名稱

垂直部分

第10代英特爾核心?處理器系列

Intel Core?處理器i7-10510Y，i5-10310Y Intel Core?處理器i5-10210Y，i5-10110Y

英特爾核心?處理器I7-8500Y

英特爾核心?處理器i5-8310Y，i5-8210Y，i5-8200Y Intel核心?處理器M3-8100Y

806EC

第二代Intel Xeon可擴(kuò)展處理器

英特爾Xeon白金處理器8253、8256、8260L、8260M、8260Y、8268、8270、8276、8276L、8276M、8280、8280L、8280M、9220、9221、9222、9242、9282。

Intel Xeon Gold處理器5215、5215 L、5215 M、5215R、5217、5218、5218 B、5218N、5218 T、5220、5220 R、5220 S、5220 S、5220 T、5222、6222 V、6226、6230、6230N、6230T、6234、6238、6238、6238 L、6238 M、6238 T、6240、6240 L、6240 M、6240 Y、6242、6244、6246、6248、6252、6252、6252、6252、6252、6262 V

Intel Xeon銀處理器4208、4208 R、4209 T、4210、4210R、4214、4214C、4214R、4214Y、4215、4216、4216R

Intel Xeon青銅處理器3204，3206R

五萬零六百五十七

Intel Xeon W處理器系列

Intel Xeon處理器W-3275、W-3275、W-3265 M、W-3265、W-3245 M、W-3245、W-3235、W-3225、W-3223、W-2295、W-2275、W-2265、W-2255、W-2245、W-2235、W-2225、W-2223

五萬零六百五十七

第9代英特爾核心?處理器系列

英特爾?酷睿?處理器i9-9980HK、9880H英特爾?酷睿?處理器i7-9850H、9750HF英特爾?酷睿?處理器i5-9400H、9300H

906ED

第9代英特爾核心?處理器系列

英特爾核心?處理器i9-9900K，i9-9900KF

英特爾核心?處理器i7-9700 K，i7-9700 KF

英特爾核心?處理器i5-9600K，i5-9600KF，i5-9400，i5-9400F

906ED

Intel Xeon處理器E系列

Intel Xeon處理器E-2288G，E-2286M，E-2278GEL，E-2278GE，E-2278G

工作站/服務(wù)器/AMT服務(wù)器

906 ED

第10代英特爾核心?處理器系列

Intel Pentium Gold處理器系列

Intel Celeron處理器5000系列

英特爾核心?處理器I7-10510U

英特爾核心?處理器i5-10210U

Intel Pentium Gold處理器6405 U

Intel Celeron處理器5305 U

806EC

第8代英特爾核心?處理器

英特爾核心?處理器i7-8565U，i7-8665U

英特爾核心?處理器i5-8365U，i5-8265U

806EC