Помилка безпеки INTEL-SA-00086


12

Нещодавно Intel опублікувала серйозну вразливість безпеки на своєму веб-сайті . Постраждало багато сімейств процесорів. За допомогою їх інструменту мій ноутбук був визначений як постраждалий. Будь-яка ідея, як пом'якшити такі проблеми в Ubuntu?

Спасибі заздалегідь


security.stackexchange.com/a/175725/4077 тут пов'язана відповідь із посиланням на інструмент виявлення
Grzegorz Wierzowiecki

Відповіді:


8

Ваша основна відповідь на це ви знайдете в кінці самої статті Intel:

Intel настійно рекомендує перевірити у вашої системи OEM наявність оновлених програмних засобів. Посилання на сторінки виробника системи, що стосуються цього питання, можна знайти на веб- сайті http://www.intel.com/sa-00086-support

В основному вони говорять про те, що виробник вашого комп’ютера повинен буде надати оновлену прошивку. Якщо, як і я, ви не можете оновити прошивку на вашій машині, ми можемо лише сподіватися, що в якийсь не віддалений момент часу оновлений intel_microcodeпакет буде доступний для Linux.

Варто зазначити, що мова йде не зовсім про Ubuntu або Linux взагалі: Проблема - це проблема з вбудованим програмним забезпеченням і пов'язана з базовою машиною, а не ОС. Наскільки швидко це вирішиться, багато в чому залежатиме від того, наскільки серйозно виробник підійде до цієї проблеми. На той час, коли я це пишу, сторінка підтримки Intel посилається на заяви Dell та Lenovo, і, очевидно, Lenovo має намір опублікувати оновлення до 2017/11/24.


1
Чи пов'язані вони з помилкою "адресна чорна діра", яка дозволяє будь-якому коду з доступом до нуль дзвінка встановити адресу контролера переривання на діапазон, який використовується прошивкою ring-мінус-2? Якщо так, можливо, варто зазначити, що експлуатаційний код може досить добре приховати себе, що навіть сканер пам’яті з доступом до кореневого рівня не зможе його виявити, тоді як він таємно вводить вразливі місця безпеки в інше програмне забезпечення, яке було б не виявлено поки віддалено не спрацьовує. Неприємні речі.
supercat

@supercat Я боюсь набагато вище мого рівня оплати.
Чарльз Грін

@supercat Я раніше не стикався з помилкою "адреси чорної діри", але друге речення є точним. Це дуже проблематично.
Фліндеберг

@flindeberg: Проблема полягає в тому, що Intel дозволяє коду без нульового коду встановлювати адресу модуля управління перериванням, а апаратне забезпечення, яке маршрутизує доступ до пам'яті, буде відображати всі адреси у вказаному діапазоні на регістри в цьому модулі, а не на пам'ять. Якщо встановити адресу модуля, щоб він затушовував пам'ять, яку логіка режиму управління системою використовує для прийняття рішень про те, як слід обробляти запити, то багато існуючих функцій SMM-постачальників прийматимуть неправильно прийняті рішення. Виправити логіку SMM не важко буде комусь із фізичними засобами ...
supercat

... встановлення виправлення. Збереження ненульового значення в розташуванні, яке завжди зчитувало б нуль, коли його закривало контролером переривання, і тестуванням того, що воно читає ненульове, буде достатньо. Проблема полягає в тому, що в багатьох випадках кінцевому користувачеві не існує простого способу встановити такий патч, хоча, можливо, можливо написати псевдоексплоатацію, яка, якщо дірка буде експлуатуватися, використовує сам отвір для установки відповідного пластир.
supercat
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.