Intel telah merilis mikrokode CPU baru untuk mengatasi lima masalah keamanan dan sebagai tambahan terdapat kode kernel Linux yang baru digabungkan untuk memitigasi kerentanan mikro-arsitektur Register File Data Sampling “RFDS” baru yang memengaruhi inti Atom / E.
Intel merilis mikrokode prosesor yang diperbarui untuk memitigasi SA-00972, SA-00982, SA-00898, SA-00960, dan SA-01045. Saran keamanan ini memberikan mitigasi untuk masalah Kunci Bus Prosesor Intel yang mengarah ke potensi penolakan layanan, vektor pengungkapan informasi melalui prediksi pengembalian prosesor, kerentanan RFDS tingkat menengah, dan peningkatan kerentanan hak istimewa Xeon SGX/TDX Generasi ke-3/4 .
Ditambah lagi, mikrokode CPU baru memiliki pembaruan untuk masalah fungsional yang tidak ditentukan mulai dari Core Ultra “Meteor Lake” hingga prosesor Core Generasi ke-7 serta Xeon Scalable Generasi ke-4 hingga prosesor Xeon Scalable Generasi ke-2. Penurunan mikrokode ini juga merupakan pertama kalinya Intel menerbitkan file mikrokode CPU baru untuk prosesor Meteor Lake dan Emerald Rapids.
File mikrokode CPU Intel baru tersedia untuk diunduh dari GitHub.
Sedangkan yang digabung ke Linux Git adalah mitigasi RFDS untuk Register File Data Sampling. Kerentanan ini terjadi karena ruang pengguna berbahaya yang tidak dapat menyimpulkan nilai register lama dari ruang kernel. Karena kemungkinan register kernel memiliki rahasia, mitigasinya adalah dengan membersihkan nilai dalam register tepat sebelum kembali ke ruang pengguna.
Register File Data Data Sampling memengaruhi inti Intel Atom / E dari inti Goldmont, Tremont, Alder Lake, Raptor Lake, dan Gracemont.
Mitigasi
==========
Intel merilis pembaruan mikrokode yang memungkinkan perangkat lunak menghapus informasi sensitif menggunakan instruksi VERW. Seperti MDS, RFDS menerapkan strategi mitigasi yang sama untuk memaksa CPU menghapus buffer yang terpengaruh sebelum penyerang dapat mengekstrak rahasianya. Hal ini dicapai dengan menggunakan instruksi VERW yang tidak terpakai dan usang dalam kombinasi dengan pembaruan mikrokode. Mikrokode membersihkan buffer CPU yang terpengaruh ketika instruksi VERW dijalankan.
Poin mitigasi
—————–
VERW dieksekusi oleh kernel sebelum kembali ke ruang pengguna, dan oleh KVM sebelum VMentry. Tidak ada inti yang terpengaruh mendukung SMT, jadi VERW tidak diperlukan pada transisi keadaan-C. Kita akan melihat apakah perubahan mikrokode menghasilkan perubahan kinerja pada generasi yang terpengaruh. Masih menggali nasehat karena tidak diberi pengarahan sebelumnya.
Itulah berita seputar Mikrokode CPU Intel Baru & Patch Kernel Linux “RFDS” Untuk Kerentanan Keamanan Baru, semoga bermanfaat. Disadur dari Phoronix.com.