В процессорах AMD и Intel обнаружены новые уязвимости, для которых уже разрабатываются заплаты.
Жизнь Intel осложнит Downfall (CVE-2022-40982), ее существование обнаружил Даниэль Могими (Daniel Moghimi). Уязвимость может быть использована путем злоупотребления операцией Gather, которая используется для ускорения доступа к данным, разбросанным в памяти, а при спекулятивном выполнении содержимое векторных регистров может быть доступно потокам, которые в принципе не должны иметь права на чтение этих данных.
Падение затрагивает проекты Intel от Skylake до архитектур Ice, Tiger и Rocket Lake, но компания специально привела полный перечень продуктов на странице ниже. Что касается исправлений, то потребуются обновления микрокода и изменения программного обеспечения, и гигант из Санта-Клары говорит, что следует ожидать снижения производительности до 50%, но это будет сильно зависеть от характера рабочего процесса. В наибольшей степени это коснется тех задач, которые зависят от операции Gather и используют наборы инструкций AVX2 и AVX-512. Intel также расскажет о некоторых стратегиях оптимизации, позволяющих переписать существующий код, чтобы уменьшить потери производительности.
В дверь AMD постучалась уязвимость Inception (CVE-2023-20569), обнаруженная исследователями из университета ETH Zurich. Уязвимость развивает более раннюю уязвимость под названием Phantom (CVE-2022-23825), которая позволяет неавторизованному пользователю вызвать ложное предсказание, создающее переходное окно выполнения. Последнее станет основой дополнительной атаки Training in Transient Execution (TTE), поскольку вместо удаления информации из первоначального окна TTE будет генерировать новые ложные предсказания, запускающие дополнительные переходные окна. Это позволяет передать произвольные данные неавторизованному процессу.
Что касается исправлений, то AMD предлагает обновить микрокод для ядер Zen 3 и 4, но для Zen и Zen 2 это не потребуется. Компания утверждает, что дефицит производительности при этих изменениях должен быть минимальным. Ожидаемые изменения для всей линейки продуктов приведены ниже.