หนึ่งปีหลังการเปิดเผยช่องโหว่ Spectre และ Meltdown เคอร์เนลใหม่ๆ มีแนวทางป้องกันปัญหากันหมดแล้ว แม้กระบวนการป้องกันจะทำให้ประสิทธิภาพเครื่องลดลงก็ตาม แต่ช่วงปีที่ผ่านมาลินุกซ์ก็เพิ่มทางเลือกสำหรับปิดกระบวนการป้องกันเหล่านี้เพิ่มเติม และโค้ดล่าสุดก็เปิดให้ปรับแนวทางการปิดระบบป้องกันอย่างละเอียดขึ้น

ออปชั่น PR_SPEC_DISABLE_NOEXEC ถูกเพิ่มเข้าเมื่อสัปดาห์ที่ผ่านมา โดยมันเปิดทางเลือกให้ผู้ดูแลระบบ สามารถเปิดปิดฟีเจอร์ Speculative Store Bypass Disable (SSBD) ของซีพียูได้อย่างละเอียด โดยเปิดให้โปรเซสลูกสามารถยกเลิก SSBD แยกจากโปรเซสแม่ได้

ปัญหาสำคัญที่สุดของ Spectre คือกระบวนการแก้ไขนั้นกระทบประสิทธิภาพของแอพพลิเคชั่นบางประเภทค่อนข้างมาก หากผู้ดูแลระบบมั่นใจว่าไม่อยู่ในข่ายที่จะถูกโจมตี เช่น เซิร์ฟเวอร์ภายในที่ไม่มีการรันโปรแกรมที่ไม่น่าไว้ใจ การเลือกปิดบางฟีเจอร์ทิ้งไปก็เป็นเรื่องสมเหตุสมผล

ตัวเลือกอื่นๆ สำหรับเปิด/ปิด ตัวป้องกัน Spectre ในลินุกซ์มีมาก่อนหน้านี้แล้ว เช่น nospectre_v2 ในลินุกซ์ 4.15, nospec_store_bypass_disable ในลินุกซ์ 4.17, และ nospectre_v1 ในลินุกซ์ 4.19 ส่วนตัวเลือก PR_SPEC_DISABLE_NOEXEC นี้ใช้ตั้งค่าในระบบโปรเซสผ่านทางฟังก์ชั่น prctl

ที่มา - linux-kernel, ZDNet