Seorang insinyur Intel pada hari Jumat memposting serangkaian patch kernel Linux yang berfungsi untuk menyempurnakan penanganan mitigasi Microarchitectural Data Sampling (MDS) untuk kernel Linux guna melindungi beberapa data kernel dengan lebih baik dan juga beberapa manfaat kinerja yang sangat halus.
Mitigasi MDS memerlukan pembersihan buffer CPU sebelum kembali ke ruang pengguna. Hal ini dilakukan dengan instruksi VERW, yang setelah kerentanan MDS terungkap, diperbarui melalui mikrokode CPU Intel untuk membebani instruksi VERW untuk juga menghapus buffer CPU. Namun dengan cara mitigasi kernel Linux sejak tahun 2021, terdapat kemungkinan data kernel masih berada di buffer CPU. Jadi patch yang baru diusulkan memindahkan instruksi VERW ke jalur kode kembali ke pengguna nanti.
Patch baru mengatasi situasi ini dengan memindahkan panggilan VERW ke jalur keluar ke pengguna untuk memitigasi serangan pengambilan sampel data sementara ini.
“Mitigasi untuk MDS adalah dengan menggunakan instruksi VERW untuk menghapus rahasia apa pun di Buffer CPU. Setiap akses memori setelah eksekusi VERW masih dapat tetap berada di buffer CPU. Lebih aman untuk mengeksekusi VERW terlambat saat kembali ke jalur pengguna untuk meminimalkan jendela di mana data kernel bisa berakhir di buffer CPU. Tidak banyak rahasia kernel yang bisa didapat setelah SWITCH_TO_USER_CR3.
Tambahkan dukungan untuk menerapkan mitigasi VERW setelah status pendaftaran pengguna dipulihkan. Hal ini membantu meminimalkan kemungkinan data kernel berakhir di buffer CPU setelah menjalankan VERW.”Seri patch juga mendekatkan VERW ke VMentry dalam kode virtualisasi KVM.
Dengan menjalani tinjauan seri patch ini, dikatakan juga membantu beberapa beban kerja seperti Nginx dan Hackbench dengan kinerja hingga 1~2% lebih baik.
Itulah berita seputar Intel Mengoptimalkan Penanganan Mitigasi MDS Untuk Menghindari Kemungkinan Kebocoran Data Kernel, semoga bermanfaat. Disadur dari Phoronix.com.