Intel LASS: как потратить 2 года на то, что так и не защищает Linux

Intel LASS безопасность ядро Linux процессор защита
Intel LASS: как потратить 2 года на то, что так и не защищает Linux
Intel LASS безопасность ядро Linux процессор защита

Intel представила шестую версию патчей для поддержки в Linux.

image

Intel продолжает работу над механизмом защиты Linear Address Space Separation, или LASS, для ядра Linux. Первый набор патчей появился ещё в январе 2023 года, и с тех пор прошло больше двух лет. Сегодня разработчики опубликовали уже шестую версию обновлений, но окончательная интеграция в основную ветку ядра всё ещё остаётся на стадии доработки.

Технология LASS направлена на усиление защиты операционной системы от атак через побочные каналы . Поддержка LASS впервые появилась в серверных процессорах Sierra Forest, а затем была реализована и в линейке Xeon 6. Хотя сами процессоры уже доступны на рынке, соответствующая поддержка в Linux пока не завершена.

Инженер Intel Кирилл Шутемов, отвечающий за разработку патчей, поясняет, что цель LASS — не допустить нежелательного доступа к виртуальному адресу между пользовательским и привилегированным режимами. Подобные механизмы уже реализованы в виде SMEP и SMAP , однако их работа требует обхода структур страниц памяти. Это может создавать уязвимости: вредоносное ПО способно измерять задержки и по ним восстанавливать структуру адресного пространства ядра.

В отличие от традиционной постраничной защиты, LASS работает до начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.

начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.

Свежая версия патчей вносит улучшения в систему отчётов о нарушениях, делает сообщения об ошибках более понятными и включает ряд других корректировок. Пока не ясно, окажется ли эта итерация достаточной для включения в следующую стабильную версию ядра, но все желающие могут изучить обновления на почтовой рассылке разработчиков Linux.


Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас