Hyper-Threading für VMs (Linux) unter Chrome OS deaktiviert

Nachricht

Hyper-Threading ist für virtuelle Maschinen (Linux) unter Chrome OS deaktiviert, um die Gesamtsicherheit des Systems zu verbessern. Diese Änderung trägt dazu bei, potenzielle Schwachstellen zu mindern, die von bösartigem Code ausgenutzt werden könnten, der in einer VM ausgeführt wird.

Erinnern Sie sich, als Intels CPUs vor mehr als zwei Jahren einer kritischen Sicherheitslücke ausgesetzt waren, die die PC-Industrie praktisch auf den Kopf stellte? Nein? Keine Sorge. Du bist nicht allein. Dennoch war die Schwere der Sicherheitslücken Meltdown und Spectre real, und der potenzielle Schaden, den sie mit sich brachten, gab Anlass zu berechtigter Sorge. Zum Glück wurden die meisten Chrome OS-Geräte gepatcht, bevor die Probleme veröffentlicht wurden, und meines Wissens wurde ein Angriff auf ein Chromebook nie in freier Wildbahn realisiert. Während Spectre und Meltdown für die meisten ferne Erinnerungen sind, scheint Chrome OS den langfristigen Auswirkungen solcher Schwachstellen nicht entgangen zu sein.

Als diese Schwachstellen im Jahr 2018 aufgedeckt wurden, bestand die sofortige Reaktion darin, Hyper-Threading zu deaktivieren, um die Sicherheitslücken zu mindern. Was ist Hyperthreading? Gute Frage. Hyper-Threading ist Intels Markenname für SMT oder simultanes Multithreading. Einfach ausgedrückt nimmt Multithreading einen einzelnen CPU-Kern und teilt ihn in zwei virtuelle Kerne auf. Der Zweck besteht darin, eine effizientere Maschine ohne zusätzliche Hardware herzustellen. Nun, dies verdoppelt nicht sofort die Leistung einer CPU. Stattdessen kann der Kernel der Maschine jetzt die virtuellen Threads verwenden, um zwei Aufgaben gleichzeitig auszuführen, anstatt dass der Kern eine Aufgabe erledigt, bevor er mit der nächsten fortfährt. In vielen Fällen erhöht es die allgemeine CPU-Leistung. Spectre und Meltdown konnten eine Schwachstelle im SMT-Prozess ausnutzen, um auf vertrauliche Informationen zuzugreifen, die im Speicher des Geräts eines Benutzers gespeichert sind.

Das ist fast drei Jahre her, aber ich habe gestern Abend eine E-Mail von Joe Romeo erhalten, in der ich darauf aufmerksam gemacht wurde, dass Chromium-Entwickler immer noch Schritte unternehmen, um diese Art von Sicherheitsverletzungen zu verhindern, und einer dieser Schritte ist die Deaktivierung von Hyper-Threading bei der Verwendung einer VM (virtuelle Maschine) auf Chrome OS. Wenn Sie sich fragen, wofür Chrome OS VMs verwendet, ist das viel mehr, als Sie vielleicht denken. Android-Emulatoren sind ein Beispiel, aber was noch wichtiger ist, Crostini nutzt die VM-Schicht. Das heißt, wenn Sie das Terminal oder eine Linux-Anwendung öffnen, wird Hyper-Threading sofort deaktiviert. Sie können den Prozess unten in Aktion in einer Bildschirmaufzeichnung von Joe R.

Sie können sehen, dass das Core i5-Gerät bei Verwendung des COG-System-Viewers die vier verfügbaren Kerne in 8 virtuelle Threads aufteilt. Sobald die Terminal-App geöffnet ist, werden vier der Kerne sofort deaktiviert. Wenn wir uns einen von Herrn Romeo geöffneten Fehlerbericht etwas genauer ansehen, stellen wir fest, dass Entwickler dieses WIA markiert haben, was bedeutet, dass es wie beabsichtigt funktioniert. Unabhängig von der Einstellung, die Sie für Hyper-Threading aktiviert haben, funktioniert es nicht, wenn eine VM ausgeführt wird. Weiter unten in den Kommentaren sehen wir warum.

Das ist WAI. Auf neueren Kerneln deaktivieren wir Hyperthreading aus Sicherheitsgründen, sobald Sie eine virtuelle Maschine starten. Ihre Einstellung in der Sitzung wird nur so lange berücksichtigt, bis Sie eine VM starten.

Chromium-Bug-Tracker

Hyper-Threading ist offenbar immer noch ein Sicherheitsproblem für Entwickler, und die CPU nicht vertrauenswürdigen VMs auszusetzen, möchten sie vermeiden. Trotzdem ist dies eine kleine Enttäuschung. Wir haben ständig nach Hinweisen gesucht, dass Chrome OS bald Hardware wie diskrete und sogar externe GPUs nutzen könnte. Die Hardware auf Premium-Chrome-OS-Geräten voll auszunutzen, ist der Schlüssel dazu, dass Chromebooks endlich in der Lage sind, die immer kleiner werdende App-Lücke zu schließen, die zwischen ihnen und Windows, Mac und Linux besteht. Zu glauben, dass Hyper-Threading dauerhaft generft werden könnte, ist bestenfalls unglücklich. Glücklicherweise gibt der letzte Kommentar des Fehlerberichts einen Hoffnungsschimmer, da der beauftragte Entwickler erklärte, dass sie diese Angelegenheit noch diskutieren. Wenn Sie den Fortschritt dieses Fehlerberichts verfolgen möchten, können Sie dies tun hier .