Intel propone parches para mitigar dinámicamente las vulnerabilidades de sus procesadores en Linux
El año 2018 fue todo un punto de inflexión para la ciberseguridad, ya que se dieron a conocer Meltdown y Spectre, dos vulnerabilidades que afectaban directamente a muchos modelos de procesadores. La primera consiguió ser resuelta de manera definitiva, pero la segunda es imposible de resolver mientras SMT está activado, por lo que la solución ha consistido en apilar mitigaciones a nivel de kernel, otros componentes del sistema operativo, microcódigos, drivers e incluso aplicaciones. Como es lógico viendo el origen, Linux no se ha librado de esto.
Seis años después, la situación en torno a las vulnerabilidades que afectan a los procesadores ha empeorado y ha ganado bastante complejidad, más viendo las diferencias que hay entre las distintas generaciones y arquitecturas de procesadores. Ante esto, y según informan en Phoronix, ingenieros de Intel que contribuyen al kernel Linux han presentado parches para que se comience a tener en cuenta el tipo de CPU y su topología para determinar las mitigaciones a aplicar dependiendo de las vulnerabilidades y los núcleos presentes.
Con el enfoque actual nos encontramos con que se aplican mitigaciones sobre núcleos que no las necesitan. Por ejemplo, hay una mitigación que en realidad solo interesa aplicar a los núcleos eficientes dentro de un procesador híbrido de generación Raptor Lake de Intel, sin embargo, el actual modelo de aplicación de las mitigaciones termina haciendo que esta se active incluso en otro modelo de procesador equivalente o similar que solo implementa núcleos de alto rendimiento y ninguno eficiente, por lo que este último modelo de CPU puede perder rendimiento por razones injustificadas.
Siguiendo con el ejemplo, que es a fin de cuentas el caso expuesto por la propia Intel en su presentación de los parches, a los procesadores de la marca que solo implementan núcleos de alto rendimiento no debería aplicárseles la mitigración contra Register File Data Sampling (RFDS), ya que esta va dirigida a los núcleos eficientes y a los implementados en los modelos de procesadores Atom. Al quitar la mitigación, es posible “ganar” rendimiento (en realidad sería no perderlo) en unos procesadores que no la necesitan.
La compleja situación en torno las vulnerabilidades que afectan a los procesadores ha terminado requiriendo de una solución que haga que solo se activen las mitigaciones necesarias dependiendo del caso. El presunto objetivo de esto es hacer que el kernel Linux funcione de manera más óptima sobre los procesadores de Intel.
La entrada Intel propone parches para mitigar dinámicamente las vulnerabilidades de sus procesadores en Linux es original de MuyLinux