Oracleのセキュリティ研究者は、Intelのハイパースレッディング(HT)機能に影響を与える攻撃からLinuxベースのシステムを保護する可能性のあるLinuxカーネルのセキュリティ機能の開発に取り組んできました。過去数ヶ月の間に、L1TF/ForeshadowやMDS攻撃など、この機能が脆弱な複数のサイドチャネル攻撃の脅威が明らかになっています。
Oracleの開発者は、IntelのHTに対する最近のMDS攻撃がカーネルアドレス空間分離(KASI)によって軽減されるかどうかについては明言せず、L1TF/Foreshadow攻撃に対する防御機能のみを表明しました。カーネルにさらなる分離が導入されると、Linuxシステムのパフォーマンスに影響を及ぼす可能性があるため、その他のサイドチャネル攻撃については議論の余地があるようです。
カーネルアドレス空間の分離
Oracleチームは当初、KVM(カーネルベース仮想マシン)のアドレス空間分離ソリューションを提案しました。これは、KVMのアドレス空間をカーネルの他の部分、そしてユーザー空間から分離するためのものでした。しかし、チームは現在、この機能の実験的なバージョン2をフレームワークとして再設計し、リリースしました。これにより、あらゆる種類のカーネルレベルアプリケーションがアドレス空間を分離できるようになります。
研究者らは、この機能の名称をKVMアドレス空間分離からKASIに変更しました。コードはまだ概念実証段階ですが、既に緩和機能の最初のバージョンよりも安定していると言われています。
彼らは現在、この機能を Linux カーネルの公式リリースに統合する前に、機能を改善する方法についての提案を求めています。
インテル ハイパースレッディングのセキュリティ脆弱性
昨年、Intel の HT CPU 機能に対する 2 つの主要なサイドチャネル攻撃 (TLBleed と L1TF/Foreshadow) が明らかになりました。
TLBleedが初めて公開された際、OpenBSD(オープンソースでセキュリティ重視のオペレーティングシステム)の創設者であるTheo de Raadt氏は、OpenBSDシステムでHTを無効にすると発表しました。彼はまた、近い将来、さらに多くのHT脆弱性が出現する可能性があると警告しました。数か月後、L1TF/Foreshadowの脆弱性も明らかになると、OpenBSDの創設者はIntelのHTを無効にするよう呼びかけ始めました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、MDSサイドチャネル攻撃が出現するまで、GoogleとAppleはこの勧告を真剣に受け止めていませんでした。GoogleはChromebookでHTを無効化しましたが、MDS攻撃に対する追加のセキュリティ対策としてHTの無効化を推奨するにとどまりました。Intelでさえ、一部の顧客はシステム上でHTの無効化を検討すべきだと認めています。
