Linux获得选项来禁用因特尔TSX 以防止Zombieload v2攻击

Microsoft和Linux内核团队都增加了禁用对Intel事务同步扩展(TSX)支持的方法。

TSX是英特尔公司的技术，它通过Zombieload v2漏洞打开公司的CPU，使其免受攻击。

Zombieload v2是漏洞的代号，该漏洞允许恶意软件或恶意威胁参与者提取CPU内部处理的信息，这些信息通常由于现代CPU内部的安全墙而无法访问。

本周早些时候披露了这个新的漏洞。英特尔表示，它将发布微码(CPU固件)更新--可在公司的支持和下载中心获得。

但是，真实的生产环境的现实是，性能很重要。以往针对其他攻击的微码更新，如熔毁、幽灵、预兆、Fallout和Zombieload v1，都被认为会带来高达40%的性能点击量。

考虑到上面列出的所有CPU攻击不仅是理论上的，而且很难实现，一些公司并不认为这种性能受到影响是一种选择。

许多人跳过应用微码更新，或者即使应用了微码更新，他们也禁用了允许攻击表面的技术，如果他们不使用它，只是为了确保它们不会受到任何攻击或性能下降的影响。

本周早些时候，微软发布了有关系统管理员如何使用英特尔的TSX来使用注册表项的指南。

它们可以通过以下注册表设置禁用TSX：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d1/f

当他们再次需要TSX时，他们可以通过以下方式重新启用它：

Reg添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel”/v DisableTsx/t REG_DWORD/d0/f

在管理员已经应用英特尔微码更新的Linux系统上，现在也有一个模型专用寄存器(Msr)可以用于禁用tsx。细节在这里。

自2013年哈斯韦尔线发布以来，TSX一直与英特尔CPU一起发货。根据英特尔的官方安全建议，下列CPU系列受到影响：

产品收藏

产品名称

垂直部分

第10代英特尔核心™处理器系列

Intel Core™处理器i7-10510Y，i5-10310Y Intel Core™处理器i5-10210Y，i5-10110Y

英特尔核心™处理器I7-8500Y

英特尔核心™处理器i5-8310Y，i5-8210Y，i5-8200Y Intel核心™处理器M3-8100Y

806EC

第二代Intel Xeon可扩展处理器

英特尔Xeon白金处理器8253、8256、8260L、8260M、8260Y、8268、8270、8276、8276L、8276M、8280、8280L、8280M、9220、9221、9222、9242、9282。

Intel Xeon Gold处理器5215、5215 L、5215 M、5215R、5217、5218、5218 B、5218N、5218 T、5220、5220 R、5220 S、5220 S、5220 T、5222、6222 V、6226、6230、6230N、6230T、6234、6238、6238、6238 L、6238 M、6238 T、6240、6240 L、6240 M、6240 Y、6242、6244、6246、6248、6252、6252、6252、6252、6252、6262 V

Intel Xeon银处理器4208、4208 R、4209 T、4210、4210R、4214、4214C、4214R、4214Y、4215、4216、4216R

Intel Xeon青铜处理器3204，3206R

五万零六百五十七

Intel Xeon W处理器系列

Intel Xeon处理器W-3275、W-3275、W-3265 M、W-3265、W-3245 M、W-3245、W-3235、W-3225、W-3223、W-2295、W-2275、W-2265、W-2255、W-2245、W-2235、W-2225、W-2223

五万零六百五十七

第9代英特尔核心™处理器系列

英特尔®酷睿™处理器i9-9980HK、9880H英特尔®酷睿™处理器i7-9850H、9750HF英特尔®酷睿™处理器i5-9400H、9300H

906ED

第9代英特尔核心™处理器系列

英特尔核心™处理器i9-9900K，i9-9900KF

英特尔核心™处理器i7-9700 K，i7-9700 KF

英特尔核心™处理器i5-9600K，i5-9600KF，i5-9400，i5-9400F

906ED

Intel Xeon处理器E系列

Intel Xeon处理器E-2288G，E-2286M，E-2278GEL，E-2278GE，E-2278G

工作站/服务器/AMT服务器

906 ED

第10代英特尔核心™处理器系列

Intel Pentium Gold处理器系列

Intel Celeron处理器5000系列

英特尔核心™处理器I7-10510U

英特尔核心™处理器i5-10210U

Intel Pentium Gold处理器6405 U

Intel Celeron处理器5305 U

806EC

第8代英特尔核心™处理器

英特尔核心™处理器i7-8565U，i7-8665U

英特尔核心™处理器i5-8365U，i5-8265U

806EC