Skrivet av Palme_570:
Får editera, Verkar som åtminstone endel går att göra med bara "lokal access"
"it does not prevent attacks where information may be leaked
across privilege levels, albeit within the same process"
Ska dock fortfarande mycket till för jag ska se det som något större "problem". Även om ett "lösenord" skulle påtärffas används inte cleartext i så många lösningar idag åndå.
Skulle hävda att den fetmarkering du gjorde hamnade fel, det viktigaste att ta med sig från den meningen är "information may be leaked across privilege levels", för det man menar här är att en process kan använda denna sårbarhet för att läcka information mellan user-space och kernel-space. När user-space kan läsa saker i kernel-space är det riktigt illa då kernel-space har access till i princip all information i systemet (d.v.s. information för alla processer).
Spectre är riktigt otrevlig då den drabbar alla moderna CPU-designer och den kostar prestanda att fixa, samt vissa varianter av Spectre verkat inte gå att fixa då det är allt för dyrt. Räddningen här har (så här långt) varit att det i praktiken är så komplicerat att använda Spectre då timing är superkritiskt, i många fall måste man skräddasy en attack för enskilda eller väldigt smala konfigurationer -> det skalar värdelöst så i praktiken finns långt bättre/enklare sätt att ta sig in i system -> "ingen" bryr sig om att använda Spectre.
Den trista med det man upptäckt här är att denna sårbarhet verkar vara mer lik Meltdown, en sårbarhet som turligt nog gick att patcha, vilket också krävdes i fall som molntjänster då det även i praktiken gick att utnyttja Meltdown där (lite på hemdatorer är nog även Meltdown lite som Spectre, finns långt enklare sätt där). D.v.s. likheten med Meltdown är att att det verkar vara enklare att faktiskt utnyttja denna sårbarhet, kombinerat med svårighet att matcha den lik Spectre...
I slutändan kan det är visa sig vara så pass komplicerat att utnyttja även denna att det inte blir något stort problem i praktiken, vi lär få se framöver. Då denna faktiskt kräver lokalaccess är det inte helt osannolikt att det inte blir så stort problem, för om någon som vill ta över din dator kommit så långt att de har lokalaccess finns det tyvärr en rad sätt att komma vidare, det även om just detta problem patchas. Tricket är helt enkelt att mota Olle i grind, de ska inte ens få någon form av lokal access.
Skrivet av Dosshell:
Kan man inte låsa SMT/HT till samma process på något vis? Dvs. att om en process vill använda SMT/HT reserveras hela kärnan för den processen? Tänker att det kanske kan vara ett mellanting till att helt stänga av SMT/HT.
Det jobbas på exakt den idén i Linux.
Problemet är att restriktionerna är större än vad man initialt kanske tänker sig...
Första problemet är relaterat till det jag svarade på ovan: det räcker inte att begränsa SMT så att båda trådarna hos en viss CPU-kärna alltid tillhör samma process, ska man vara riktigt säker går det bara att ha SMT aktiverat för processer man helt litar på förutsatt att SMT då också begränsas så att dessa betrodda processer allt kör båda trådar hos en viss kärna inom samma process.
Problemet med icke-betrodda processer är att det finns minst två priviligeringsnivåer. Dels när man kör i programmet, här vore det helt OK att låta vilken process som helst köra SMT då den bara kan "spionera" på sig själv (vilket är poänglöst). Men dels kör ju processer saker inuti OS-kärnan, en "elak" process kan då explicit använda SMT så ena tråden kör i kontext av OS-kärnan medan den andra utnyttjar sårbarheter som beskrivs i denna artikel för att gräva ut information som nu kommer från kärnan -> potentiellt kan man läsa information från alla processer om rätt/fel (beroende på ur vems perspektiv man ser det) "gadget" används av CPU-tråden som finns i OS-kärnan.
Svårt att se hur man någonsin kan göra SMT helt fritt från "side-channels" och det är redan bevisat att SMT "by-design" alltid lider av "covert-channels". Här kommer det ned till helt normala ingenjörsavvägningar: huruvida man ska behålla SMT på beror helt på vad som har störst värde, den extra prestandan SMT ger i många fall (vilket säger att det ska vara på) kontra de säkerhetshål tekniken har (vilket säger att det ska stängas av i alla lägen utom för "betrodda" processer + OS-stöd likt det Linux är på väg att få).
För de flesta hemanvändare lär den högre prestanda vägra tyngre, för molnleverantörerna kan mycket väl säkerheten väga tyngre.
