Защита от новой уязвимости Intel LVI снижает производительность некоторых Xeon на 77 процентов

Блоги

17 мар 2020, 15:50 Steinar Stolz

Защита от новой уязвимости Intel LVI снижает производительность некоторых Xeon на 77 процентов - очередная заплатка, существенно снижающая быстродействие многострадальных процессоров.

Эксперты компании Phoronix изучили влияние на производительность так называемой "заплатки" от новой уязвимости Load Value Injection (LVI) на процессорах Intel.

Load Value Injection (LVI) позволяет злоумышленнику красть конфиденциальную информацию у жертвы, проникая в программные расширения Intel (Guard SGG). SGX по сути действует как хранилище важных данных. Как Intel, так и исследователи, разоблачавшие LVI, отметили уязвимость как теоретическую угрозу, а это означает крайне малую вероятность того, что злоумышленник воспользуется ею. В любом случае, Intel выпустила обновления для программного обеспечения платформы SGX (PSW) и SDK для устранения недостатков безопасности.

Отмечается, что Intel в основном добавила защиту типа LFENCE перед восприимчивыми к новой уязвимости инструкциями. Таким образом, публикация оценивала производительность процессора в пяти различных сценариях: без защиты, выпущенной Intel, с загрузкой LFENCE перед косвенными ветвями, перед инструкциями RET, после загрузки и со всеми тремя опциями в тандеме.

Был тщательно протестирован эффект "смягчения" последствий выявленной уязвимости в реальном сценарии с процессором Xeon E3-1275 v6 (Kaby Lake), при этом использовалось несколько методов постановки защиты. Результаты публикации показывают, что включение LFENCE перед прямыми ветвями или перед инструкциями RET оказывает минимальное влияние на производительность. Потеря производительности составляет менее 10%.

С другой стороны, реализация LFENCE после каждой команды загрузки или всех трех опций ассемблера действительно может нанести ущерб производительности процессора. Производительность в данном случае может уменьшиться на колоссальное значение - до 77 процентов.

К счастью, LVI не должен быть большой проблемой для пользователей, так как использование SGX на обычном ПК не распространено. Теоретически, злоумышленники могут использовать LVI с помощью JavaScript, однако задача очень сложная.

Но вот корпоративные пользователи должны больше обеспокоиться возникшей проблемой из-за частого использования SGX и технологий виртуализации.