Se descubrió un defecto fundamental de diseño y seguridad en los chips de Intel que requeriría un rediseño del kernel de Linux, macOS y Windows para parchearlo. La solución alternativa, sin embargo, dará lugar a un impacto en el rendimiento de entre 5 y 30 por ciento.
En los recientes chips Intel con PCID, el impacto en el rendimiento sería menor pero aún notable. El error está presente en todos los procesadores Intel lanzados en la última década y no se puede reparar a través de una actualización de microcódigo. El error permite que las aplicaciones normales como los navegadores web y las aplicaciones de bases de datos reconozcan al menos parte del contenido almacenado en el área de memoria del núcleo protegido. En las manos equivocadas, este exploit puede ser utilizado por piratas informáticos y malware para leer su información sensible que generalmente se almacena en el espacio de memoria del kernel.
La solución requerirá separar el área de memoria del kernel de los procesos del usuario a través del aislamiento de la tabla de páginas Kernel.
Cada vez que un programa en ejecución necesita hacer algo útil, como escribir en un archivo o abrir una conexión de red, tiene que ceder temporalmente el control del procesador al núcleo para llevar a cabo el trabajo. Para hacer la transición del modo usuario al modo núcleo y volver al modo usuario lo más rápido y eficiente posible, el kernel está presente en todos los espacios de direcciones de memoria virtual de los procesos, aunque es invisible para estos programas. Cuando se necesita el kernel, el programa realiza una llamada al sistema, el procesador cambia al modo kernel e ingresa al kernel. Cuando termina, se le dice a la CPU que vuelva al modo de usuario y vuelva a ingresar al proceso. Mientras está en modo de usuario, el código y los datos del kernel permanecen fuera de la vista, pero están presentes en las tablas de páginas del proceso.
Los parches de KPTI moverán el kernel a un espacio de direcciones separado, lo que significa que no estará presente en absoluto en un proceso en ejecución. Cambiar entre dos espacios de direcciones diferentes no es eficiente, ya que requeriría el vaciado de datos de caché y la recarga de información de la memoria. Esto llevaría a un aumento en la sobrecarga del kernel y tendría un impacto en el rendimiento general de la PC.
Un ingeniero de AMD ya ha confirmado que los procesadores AMD no son vulnerables a este defecto de seguridad.
Microsoft ha estado probando parches para este fallo de seguridad a través de su Anillo Insider desde noviembre a diciembre y se espera que haga público el parche en un próximo Parche el martes. Los desarrolladores de Linux también están luchando para arreglar este error de bajo nivel con actualizaciones para el kernel. Si bien no hay noticias de Apple, también se espera que la compañía pronto haga disponible un parche para macOS. Las principales plataformas en la nube también se someterán a mantenimiento y se reiniciarán para aplicar esta solución. Se espera que Azure de Microsoft se someta a mantenimiento el 10 de enero, mientras que Amazon ya informó a los clientes que AWS recibirá una importante actualización de seguridad este viernes.
Puede leer todo acerca de este importante error de diseño en las CPU de Intel en el enlace de origen a continuación.
No hay comentarios.:
Publicar un comentario