Ошибка безопасности INTEL-SA-00086

12

Intel недавно опубликовала серьезную уязвимость безопасности на своем сайте . Это затрагивает множество семейств процессоров. Используя их инструмент, мой ноутбук был идентифицирован как затронутый. Любая идея, как смягчить такие проблемы в Ubuntu?

заранее спасибо

security intel Jimakos
источник
security.stackexchange.com/a/175725/4077 вот соответствующий ответ со ссылкой на инструмент обнаружения
Grzegorz Wierzowiecki

Ответы:

8

Ваш основной ответ на этот вопрос будет найден в конце самой статьи Intel:

Корпорация Intel настоятельно рекомендует проверить у изготовителя системы наличие обновленных прошивок. Ссылки на страницы производителей систем по этой проблеме можно найти по адресу http://www.intel.com/sa-00086-support.

По сути, они говорят вам, что производитель вашего компьютера должен будет предоставить обновленную прошивку. Если, как и я, вы не можете обновить прошивку на своем компьютере, мы можем только надеяться, что в какой-то не отдаленный момент времени обновленный intel_microcodeпакет будет доступен для Linux.

Стоит отметить, что речь идет не только об Ubuntu или Linux в целом: проблема связана с прошивкой и связана с базовой машиной, а не с ОС. То, насколько быстро это решится, во многом будет зависеть от того, насколько серьезно производитель подходит к этой проблеме. На момент написания этой статьи страница поддержки Intel содержит ссылки на заявления Dell и Lenovo, и, по-видимому, Lenovo намерена выпустить обновление к 2017/11/24.

Чарльз Грин
источник
1
Связаны ли они с ошибкой «адресации черной дыры», которая позволяет любому коду с нулевым доступом устанавливать адрес контроллера прерываний в диапазоне, используемом встроенным ПО «минус-2»? Если это так, то, возможно, стоит отметить, что код эксплойта может быть достаточно хорошо спрятан, чтобы даже сканер памяти с доступом с правами root не смог его обнаружить, хотя он втайне внедряет уязвимости безопасности в другое программное обеспечение, которое невозможно обнаружить. пока дистанционно не сработает. Противные вещи.
суперкат
Боюсь, @supercat намного выше моей зарплаты.
Чарльз Грин
@supercat Я раньше не сталкивался с ошибкой «адресация черной дыры», но второе предложение точно. Это очень проблематично.
Флиндеберг
@flindeberg: проблема заключается в том, что Intel позволяет коду нулевого уровня устанавливать адрес модуля управления прерываниями, а оборудование, которое маршрутизирует обращения к памяти, сопоставит все адреса в указанном диапазоне с регистрами внутри этого модуля, а не с памятью. Если кто-то устанавливает адрес модуля так, чтобы он затемнял память, которую использует логика режима управления системой для принятия решений о том, как он должен обрабатывать запросы, то существующие функции SMM многих поставщиков будут принимать ошибочно принятые решения. Исправление логики SMM не будет трудным для кого-то с физическими средствами ...
суперкат
... установка исправления. Сохранение ненулевого значения в местоположении, которое всегда будет читать ноль, когда оно скрыто контроллером прерываний, и тестирование того, что оно читает ненулевое значение, будет достаточно. Проблема заключается в том, что во многих случаях конечному пользователю не так просто установить такой патч, хотя, возможно, можно было бы написать псевдо-эксплойт, который, если дыра является уязвимой, использовал бы само отверстие для установки подходящего залатать.
суперкат