英特尔提交的Linux Kernel补丁可在检测到旧版微代码时出现安全提醒
英特尔日常就是推出微代码更新用于修复安全漏洞或解决某些性能问题,当然近期英特尔还通过微代码更新修复第 13/14 代酷睿桌面处理器的电压过高损坏硬件问题。为了让 Linux 用户更容易发现自己运行的是旧版微代码更新,现在英特尔工程师特意制作了新补丁,该补丁将合并到 Linux Kernel 中。
英特尔通过 Git 存储库维护包含最新微代码版本的清单,这个补丁则可以让 Linux 系统定期检测清单,如果识别到当前系统使用的是旧版微代码时则会弹出安全提醒。
当然毕竟不是 Windows 10/11 也不是真的在桌面上弹出提醒,英特尔会将系统标记为易受攻击,当 IT 管理员看到提示时可以根据指示进行微代码更新。
不过此次引入的补丁也有个小缺陷,英特尔的微代码更新既可以通过操作系统内核进行更新,也可以通过 BIOS 固件执行更新。
CPU 通常情况下会选择最新版本的微代码更新,但如果 BIOS 的微代码比较新则系统就可能出现误报,即便 CPU 使用的已经是最新版本的微代码。
这个小缺陷的原因主要是因为 Git 存储库仅托管操作系统的微代码,如果某个 BIOS 供应商推送了新的微代码,而这个微代码不在 Git 存储库时,Linux Kernel 就会迷惑,无法判断 CPU 是否使用了最新版本。
值得注意的是英特尔的微代码更新有时候可能会降低性能,英特尔并不强制企业必须使用最新的微代码,只是会提醒不使用最新的微代码可能会让系统易受攻击。
还有个例外情况是英特尔最新发布的 0x129 微代码,即用于解决 CPU 最小电压大幅上升问题的错误修复代码,不会通过 Windows 更新推送和自动安装。