Skin ADV

Dopo la seconda ondata di vulnerabilità Spectre, giunge ora una nuova vulnerabilità, basata a grandi linee sul medesimo meccanismo, e chiamata LazyFP (CVE-2018-3665): “An attacker, via a local process, could cause information stored in FP (Floating Point), MMX, and SSE register state to be disclosed across security boundaries on Intel Core family CPUs through speculative execution. An attacker must be able to execute code locally on a system in order to exploit this vulnerability, similar to the other speculative execution vulnerabilities. The information that could be disclosed in the register state depends on the code executing on a system and whether any code stores sensitive information in FP register state. The security boundaries that may be affected by this vulnerability include virtual machine, kernel, and process”. (Fonte: Microsoft)

Questa vulnerabilità è stata scoperta da Julian Stecklina (Amazon) e Thomas Prescher (Cyberus Technology), Zdenek Sojka (SYSGO AG) e Colin Percival.

A questa pagina è possibile leggere come si può trarre vantaggio di questa vulnerabilità, ma la cosa più interessante sembra essere la non perdita di prestazioni qualora vengano installare le patch correttive (Al contrario di quanto accaduto con Meltdown e Spectre). Un esempio è GNU/Linux: “Using GNU/Linux with kernel versions >= 3.7, this attack can be mitigated by adding “eagerfpu=on” to the kernel’s boot parameters. We are not aware of a workaround for older versions. For all other operating systems: install the official update(s) from the vendor.
We are not aware of a performance penalty caused by using eager FPU switching. The commit message of the Linux kernel patch that made eager FPU switching the default on Linux systems even points out that the assumptions which justified lazy FPU switching in the past do not hold any longer on the majority of modern systems”.

Microsoft ha affermato che sta lavorando sulle patch correttive, ma che i propri clienti Azure che lavorano con le Virtual Machine sono protetti da questa vulnerabilità fin da ora (Forse perché sfruttano Server EPYC?). Come scrive Bogdan Popa su Softpedia, sono gli utenti client a dover temere di più: “Lazy restore is enabled by default in Windows and cannot be disabled, adding that virtual machines, the kernel, and processes are affected by the vulnerability”.

Nei prossimi giorni la situazione dovrebbe comunque stabilizzarsi, grazie al rilascio delle patch correttive.

Delicious
Submit to Digg
StumbleUpon
Gian Maria Forni
Autore: Gian Maria Forni
Esperto in:
Esperto di mercati e CPU
Sebbene sia laureato in Lettere e Filosofia, indirizzo Storia Contemporanea, e scriva per quotidiani e riviste di tale settore, ha sempre avuto la passione per l'informatica ed ha collaborato quale moderatore in importanti forum del settore
Notizie postate da Gian Maria ForniArticoli postati da Gian Maria Forni
2806
news
196
articoli
    

Ultime dal forum



Win 10 problemi reinstallazione SSD (1 messaggi)
Ultimo messaggio di: george_p (15/08/2018 14:27)

[Official Topic] AMD "Zen" (1634 messaggi)
Ultimo messaggio di: FedeGata (15/08/2018 07:19)

La scuola secondo Barbero (5 messaggi)
Ultimo messaggio di: ragen-fio (14/08/2018 17:09)

[Waiting for] AMD GPU Polaris & Vega (ex-Arctic Islands) (2171 messaggi)
Ultimo messaggio di: Il nabbo di turno (14/08/2018 16:54)

[Official Thread] GPU Nvidia Volta e (rumour) Ampère/Turing (53 messaggi)
Ultimo messaggio di: Mitch (14/08/2018 10:22)

Perplessità riguardo moduli ram (1RX16 vs 1RX8) (4 messaggi)
Ultimo messaggio di: Masciale (13/08/2018 10:33)

Xiaomi Mi A1 (18 messaggi)
Ultimo messaggio di: Blobay (10/08/2018 13:00)

Nuovo o... Lavato con Perlana? (338 messaggi)
Ultimo messaggio di: Fottemberg (09/08/2018 12:59)

Il meglio dal forum



[Guida] all'overclock di AMD Ryzen.
Il thread per spiegare ai novizi come overclockare le CPU Ryzen, per raccogliere pareri e per scambiarci suggerimenti.

[Official Topic] AMD APU Kabini, Temash, Kaveri e... Carrizo.
Discutiamo le ultime novità sulle APU AMD basate su microarchitettura Bulldozer e Jaguar.

[Waiting for] AMD GPU Polaris & Vega (ex-Arctic Islands).
Discutiamo le ultime novità sulle GPU Polaris di AMD, senza dimenticarci di Vega!

[Official Topic] Nvidia Pascal GPU.
Discutiamo le ultime novità sulle GPU Pascal di NVIDIA e su quanto ci aspetta in futuro!

[Official Topic] AMD "Zen".
Discutiamo le ultime novità sulla microarchitettura x86 Zen di AMD e le CPU/APU in arrivo.

Creative Sound Blaster e Windows 10/8.1/8/7/Vista.
Dedicato a tutti i possessori delle schede audio di Creative Labs!

B&C e la questone "degli articoli prezzolati".
Perché B&C è un portale diverso?