Intel, il kernel Linux deve segnalare le vulnerabilità del microcodice

Attraverso uno dei suoi ingegneri, Intel propone una patch per il kernel Linux volta a identificare e segnalare l'uso di microcodici obsoleti.

Dave Hansen, ingegnere veterano di Intel, ha proposto una patch per il kernel Linux che cambierebbe radicalmente il modo con cui è trattato il microcodice obsoleto dei processori. Secondo Hansen, “non è possibile considerare sicuro un sistema che utilizza microcode vecchi“, suggerendo la necessità di trattare queste configurazioni come vere e proprie vulnerabilità.

La posizione del tecnico di Intel è un po’ in contrasto con quella precedentemente espressa da Linus Torvalds che ha di recente rilasciato una modifica del kernel in grado di velocizzare le operazioni sui sistemi patchati con le misure di sicurezza anti Spectre e Meltdown.

La proposta di modifica sul kernel Linux avanzata da Intel, tuttavia, è evidentemente orientata a proteggere in primis le installazioni di Linux sui sistemi server. È qui che gli attacchi side-channel sui processori possono far danni.

Come segnalare su Linux l’utilizzo di microcodice obsoleto

Il microcodice (o microcode in inglese) è un insieme di istruzioni a basso livello che operano come intermediarie tra l’hardware della CPU e le istruzioni di più alto livello eseguite dal sistema operativo e dai programmi. È una sorta di “firmware” interno alla CPU, responsabile di gestire le operazioni di base e le istruzioni che l’unità di elaborazione centrale deve compiere.

Allorquando Linux dovesse rilevare l’utilizzo di microcodice non aggiornato sui chip Intel, genererà il file /sys/devices/system/cpu/vulnerabilities/old_microcode, consultabile sia dagli utenti che dalle applicazioni. “Non è possibile considerare sicuro un sistema che utilizza microcode vecchi“, sostiene Hansen.

Con questo approccio, Linux potrebbe mantenere una lista aggiornata delle versioni più recenti dei microcode Intel, per ciascuna famiglia di CPU. L’elenco sarebbe basato sul contenuto del repository GitHub ufficiale di Intel.

Funzionamento e scopo della patch

La patch non impedisce agli utenti Linux di utilizzare microcode obsoleti, ma introduce un semplice sistema di segnalazione che attiva il flag X86_BUG_OLD_MICROCODE, se il microcodice rilevato risultasse non aggiornato.

L’idea di trattare i microcode obsoleti come vulnerabilità di sicurezza è semplice, ma significativa. La proposta di Hansen evidenzia quanto sia essenziale un monitoraggio continuo del microcodice per mantenere un sistema sicuro.

La proposta potrebbe costituire la base per una gestione più rigorosa e tempestiva dei microcodici, non solo per i processori Intel, ma in futuro anche per quelli AMD.

Credit immagine in apertura: iStock.com – gdainti

Ti consigliamo anche

Link copiato negli appunti