Intel arbeitet weiter an linearer Adressraumtrennung "LASS" für Linux
Im Januar 2023 wurden die ersten Intel-Patches für den Linux-Kernel veröffentlicht, die die lineare Adressraumtrennung (Linear Address Space Separation, LASS) einführten. Zweieinhalb Jahre später befinden sich diese Intel-LASS-Patches immer noch in der Entwicklung, und heute wurde die sechste Iteration dieser Patches veröffentlicht.
Eine Übersetzung von 🇬🇧 Phoronix.com
Intels Linear Address Space Separation wurde entwickelt, um das Betriebssystem gegen verschiedene Arten von Seitenkanalangriffen zu schützen. Die LASS-Unterstützung auf der CPU-Seite wurde erstmals mit den Sierra Forest-Prozessoren eingeführt und mit der Xeon 6-Reihe in vollem Umfang fortgesetzt. Während die Prozessoren jetzt mit LASS-Unterstützung ausgeliefert werden, ist die Unterstützung für den Linux-Kernel noch in Arbeit, und heute wurde die v6-Patch-Serie veröffentlicht.
Der Intel-Ingenieur Kirill Shutemov hat heute die aktualisierten Linux-LASS-Patches verschickt und erklärt:
Die lineare Adressraumtrennung (Linear Address Space Separation, LASS) ist ein Sicherheitsmerkmal, das böswillige Zugriffe auf den virtuellen Adressraum im Benutzer- und Kernelmodus verhindern soll.
Einen solchen modusbasierten Zugriffsschutz gibt es bereits heute mit Paging und Funktionen wie SMEP und SMAP. Um diese Schutzmaßnahmen durchzusetzen, muss der Prozessor jedoch die Paging-Strukturen im Speicher durchlaufen. Bösartige Software kann die aus dieser Durchquerung resultierenden Timing-Informationen nutzen, um Details über die Paging-Strukturen zu ermitteln, und diese Details können auch dazu verwendet werden, das Layout des Kernelspeichers zu bestimmen.
Der LASS-Mechanismus bietet die gleichen modusbasierten Schutzmechanismen wie Paging, ohne jedoch die Paging-Strukturen zu durchlaufen. Da die von LASS erzwungenen Schutzmaßnahmen vor dem Paging angewandt werden, kann die Software keine Paging-basierten Timing-Informationen aus den verschiedenen Caching-Strukturen wie TLBs, Mid-Level-Caches, Page Walker, Daten-Caches usw. ableiten. LASS kann das Sondieren mit Hilfe von Doppelseitenfehlern, TLB-Flush und -Reload sowie SW-Prefetch-Anweisungen vermeiden.
Die LASS v6 Patches bringen Verbesserungen bei der Meldung von LASS-Verletzungen, hilfreichere Fehlermeldungen und andere Anpassungen. Wir werden sehen, ob diese Iteration der Patches gut genug für das Upstreaming in einem kommenden Kernel-Zyklus ist, aber für den Moment können Interessierte die aktualisierten Patches auf der Kernel-Mailingliste finden.
Ein Service von s3n🧩net
Comments