Nueva vulnerabilidad Intel Downfall AVX2/AVX-512 y su enorme impacto en el rendimiento
Recientemente se ha descubierto una nueva vulnerabilidad de ejecución especulativa denominada Downfall -también conocida como GDS (Gather Data Sampling)- que afecta a varias generaciones de procesadores Intel. El alcance de Vulnerabilidad Intel Downfall AVX2/AVX-512 afecta a los procesadores de conjuntos de instrucciones AVX2 y AVX-512. Este fallo de seguridad microarquitectónico en las CPU de Intel afecta a diversas CPU desde Skylake hasta Tiger Lake/Ice Lake. Aunque las generaciones más recientes de CPU Intel no están afectadas, la vulnerabilidad es una fuente de preocupación para muchos usuarios.
Cómo funciona
Como característica de minimización de memoria, Downfall hace accesibles involuntariamente al software los registros internos del hardware. La instrucción AVX GATHER, que accidentalmente accidentalmente datos del archivo de registro vectorial interno durante la ejecución especulativa, es la fuente de la vulnerabilidad. Esta exposición posibilita la fuga potencial de datos. Esto hace posible que software no fiable acceda a datos que idealmente deberían permanecer inaccesibles. Las ramificaciones en el mundo real del descubrimiento de Daniel Moghimi de Downfall incluyen la extracción de datos privados del núcleo de Linux e información sensible como claves AES.
Procesadores afectados y mitigación
El impacto de vulnerabilidad Intel Downfall AVX2/AVX-512 gira en torno a los procesadores Xeon Scalable Ice Lake del lado del servidor y los procesadores del lado del cliente desde Tiger Lake hasta Skylake. Alder Lake, Raptor Lake y Sapphire Rapids estaban exentos del alcance de Downfall, pero Intel proporcionó rápidamente mitigaciones de microcódigo en respuesta. Estas mitigaciones, sin embargo, vienen con una advertencia. Mitigar el impacto de la vulnerabilidad AVX-512 puede provocar deterioro del rendimientoespecialmente cuando las instrucciones gather se utilizan con frecuencia en la ruta caliente de una aplicación.
Consecuencias
Lo que realmente importa son las posibles consecuencias para el rendimiento de la mitigación del microcódigo. Las cargas de trabajo que requieren mucha vectorizacióncomo las que utilizan AVX2/AVX-512pueden sufrir importantes caídas de rendimiento. La inteligencia artificial (IA), la computación de alto rendimiento (HPC), la codificación de vídeo y, sin olvidar, la transcodificación pueden verse especialmente afectadas. Aunque Intel se ha abstenido de hacer promesas concretas de rendimiento, sus socios han informado de posibles implicaciones de hasta el 50. Intel también ha reconocido este problema del parche de la vulnerabilidad AVX-512 y el rendimiento.
Si los usuarios creen que sus sistemas no están afectados, tienen la opción de desactivar el cambio de microcódigo como parte de la respuesta de Intel a Downfall. Aunque Intel destaca la dificultad de llevar a cabo un asalto Downfall fuera de circunstancias controladas, sigue habiendo desacuerdo sobre la viabilidad de tales ataques en situaciones reales. El punto de vista de Daniel Moghimi, por el contrario, hace hincapié en la utilidad de la vulnerabilidad a la luz de la actual infraestructura informática compartida.
Alarmantemente, Daniel Moghimi informó a Intel de la existencia de Downfall en agosto de 2022. Pero la información pública no salió a la luz hasta un año después. El retraso pone de manifiesto lo difícil que es abordar estas vulnerabilidades y las dificultades para mitigarlas rápidamente.
<h2=”path”>
El camino a seguir
La próxima actualización del microcódigo de la CPU de Intel y las correcciones relacionadas del kernel de Linux proporcionan una recuperación a Downfall. Debido al posible impacto del microcódigo en el rendimiento, se han realizado numerosas pruebas comparativas para evaluar sus efectos. Aunque Intel se ha mostrado agresivo a la hora de resolver la vulnerabilidad, sigue habiendo motivos de preocupación, sobre todo teniendo en cuenta los posibles costes de rendimiento en los procesadores Vulnerabilidad de los conjuntos de instrucciones AVX2 y AVX-512.
Conclusión
Debido a este riesgo para la seguridad de los datos derivado de la vulnerabilidad AVX-512Downfall ocupa una posición crucial en el panorama del desarrollo de vulnerabilidades de los procesadores. Tux Care sigue dedicado a informarle de los cambios significativos en el ecosistema Linux. Estamos preparados para ofrecer la asistencia y las soluciones necesarias para gestionar el panorama tecnológico en constante cambio a medida que evolucione la situación.
Esté atento a las actualizaciones y póngase en contacto con un experto en caso de duda.
Las fuentes de este artículo incluyen un artículo en Phoronix.