Az Intel bejelentette, hogy egy újabb típusú, spekulatív végrehajtásból eredő rést fedeztek fel a Skylake, vagy újabb architektúrára épülő processzoraikban. A Foreshadownak csúfolt, hivatalosan L1 Terminal Fault gyűjtőnévbe sorolt hiba rögtön három sebezhetőséget is rejt: L1 Terminal Fault-SGX (CVE-2018-3615), L1 Terminal Fault-OS/SMM (CVE-2018-3620) és L1 Terminal Fault-VMM (CVE-2018-3646).
A Leuveni Katolikus Egyetem, illetve a Michigani Egyetem kutatói által felfedezett sebezhetőségekkel az Intel SGX (Software Guard Extensions) technológiája kap egy hatalmas léket. Ez elméletben arra szolgál, hogy egy olyan védett környezetet teremtsen az adott program számára, amelyben az allokált memóriaszelethez se az operációs rendszer, se a hypervisor nem tud hozzáférni, nem beszélve a többi futtatott alkalmazásról. A memóriának ezeket a privát régióit beékelt területnek szokás nevezni. Az SGX mögötti elgondolás tehát igen egyszerű, a rendszer segítségével a programfejlesztő biztosíthatja, hogy az alkalmazás olyan szoftvereket futtasson, amelyeknél alapvetően problémás lenne ha bármi más hozzáférne a lefoglalt, beékelt memóriaterülethez.
Az SGX a fenti formájában védelmet is nyújt például a Spectre és a Meltdown ellen, mivel minden nem engedélyezett hozzáférés a védett területekhez egy megszakítást vált ki. A gond az, hogy a processzorok igen agresszív spekulatív végrehajtása figyelmen kívül hagyja ezt, és elkezdi betölteni a hivatkozott adatot, ha az megtalálható az L1 gyorsítótárban, méghozzá úgy, mintha a laptáblában ott lenne elérhető és hozzáférhető formában. Ha ez megtörténik, akkor az L1 Terminal Fault kihasználása lehetővé teszi a támadó jellegű kód számára az amúgy védett, L1 gyorsítótárban tárolt tartalomnak egy spekulatív formában létrehozott másolatát kiolvassa, vagyis ellopja a tárolt információkat.
Ez a támadási forma igen veszélyes, hiszen gyakorlatilag a teljes fizikai címtartomány veszélyben van, dacára a Meltdown operációs rendszer oldalán eszközölt javításainak, emellett tulajdonképpen lenullázza az SGX technológia védelmét, illetve virtuális gépeken belül is működik.
A rossz hírek után jöjjenek a jók. Az Intel az L1 Terminal Fault-SGX és L1 Terminal Fault-OS/SMM sebezhetőségeket a mikrokód frissítésével, illetve az operációs rendszereken keresztül már javította, egyszerűen elég mindenből a legújabb verziót telepíteni. Az L1 Terminal Fault-VMM esetében már problémásabb a helyzet. Javítás erre is él, de nem minden esetben nyújt önmagában elég védelmet, vagyis további intézkedésekre is szükség van. Az Intel emiatt a hypervisor szoftver frissítését is erősen javasolja, ugyanis az érintett cégek tudtak a sebezhetőségekről, és a háttérben dolgoztak a szükséges javításokon. Végül bizonyos, virtualizált környezetet futtató adatközpontokban érdemes megfontolni a Hyper-Threading letiltását is a védelem megerősítése érdekében, amelyre a L1 Terminal Faulthoz készült Linux kernel már lehetőséget is ad.
A teljesítményveszteség leginkább attól függ, hogy a felhasználó telepítette-e a Spectre és a Meltdown sebezhetőségekre kiadott frissítéseket. Ezekhez viszonyítva a Foreshadowra vonatkozó javítás nem jár majd jelentős tempódeficittel. Ugyanakkor van olyan adatközpontokat üzemeltető cég, amely a teljesítményesés miatt még a Spectre és a Meltdown javításaitól is irtózik, de a Foreshadow már olyan mértékű hiba, hogy azt egyszerűen nem lehet figyelmen kívül hagyni. Ebben az esetben természetesen egyszerre kapja meg a rendszer az idei összes frissítéssel járó teljesítménycsökkentést, ami nyilván soknak fog tűnni. Végeredményben a Hyper-Threading letiltása vezethet további, komolyabb sebességvesztéshez, de erre vonatkozóan érdemes egyéni kiértékelés alapján döntést hozni, ugyanis a szálak felének lekapcsolás nem minden esetben szükséges. Erre akkor lehet igény, ha az adatközpont üzemeltetője nem tudja garantálni, hogy minden virtuális gép operációs rendszere frissítve lett. Ez ugyanakkor kezelhető úgy is, hogy ugyanazon a magon csak biztosan megbízható virtuális gépek futhatnak, így garantálható a potenciális veszélyt hordozó rendszerek izolációja. Ezt több hypervisor szoftver támogatja is, de ha pont nem ilyen fut az adott adatközponton belül, akkor egyedül a Hyper-Threading lekapcsolása vezethet teljes biztonsághoz.
