Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак Spectre и Meltdown
Разработчики FreeBSD предложили для обсуждения начальный вариант патчей, блокирующих проведение атак Spectre и Meltdown. Защита от Meltdown базируется на уже опробованной в других ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.
Защита от второго варианта атаки Spectre основана на использования новой инструкции IBRS (Indirect Branch Restricted Speculation), представленной компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста.
Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel, которое пока проходит тестирование OEM-производителями перед началом массового распространения. Применение IBRS может быть отключено через sysctl, но PTI пока не отключаем, с чем в основном и связаны основные пожелания пользователей, участвующих в обсуждении.
Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM. Защита от Meltdown основана на патчах KPTI, а защита от Spectre построена с привлечением инструкций IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.
Защита от второго варианта атаки Spectre основана на использования новой инструкции IBRS (Indirect Branch Restricted Speculation), представленной компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста.
Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel, которое пока проходит тестирование OEM-производителями перед началом массового распространения. Применение IBRS может быть отключено через sysctl, но PTI пока не отключаем, с чем в основном и связаны основные пожелания пользователей, участвующих в обсуждении.
Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM. Защита от Meltdown основана на патчах KPTI, а защита от Spectre построена с привлечением инструкций IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.
Ещё новости по теме:
18:20