摘要：去年，Linux 内核提出了一个补丁，该补丁会将过时的 CPU 微码版本报告为安全漏洞。由于英特尔会定期发布新的 CPU 微码更新以修复安全漏洞并解决其他功能问题，因此，当 Linux 内核识别到某个处理器部署了过时的 CPU 微码时，它会开始警告用户。该补丁

去年，Linux 内核提出了一个补丁，该补丁会将过时的 CPU 微码版本报告为安全漏洞。由于英特尔会定期发布新的 CPU 微码更新以修复安全漏洞并解决其他功能问题，因此，当 Linux 内核识别到某个处理器部署了过时的 CPU 微码时，它会开始警告用户。该补丁现在已排入 tip/tip.git 分支，因此看起来它将提交给即将到来的 Linux 6.16 内核周期。

自去年提出最初的补丁提案以来，已经有了具体的例子，11 月份有新的 CPU 微码发布了两个安全警告，2 月份有CPU 微码更新解决了五个新的安全问题。这只是过去几个月的情况，如果您是该补丁的长期关注者，那么会很清楚近年来所有供应商都出现了 CPU 安全问题，并且通常会看到通过微码更新应用缓解措施。

今天下午，用于向用户报告过时的 Intel CPU 微码版本的补丁 已排入tip/tip.git 的 x86/microcode 分支。由于更新的微码很可能包含安全修复程序和/或已解决的功能问题，因此当检测到 CPU 运行过时的微码时，将通过/sys/devices/system/cpu/vulnerabilities/old_microcode进行报告。该目录与其他 CPU 安全漏洞的报告目录位于同一 sysfs 目录中，因此易于收集。在调试 Linux 内核问题时，确保使用最新的 CPU 微码也非常重要。

除了通过 sysfs 报告旧的微码问题外，识别过时的 CPU 微码还会通过“TAINT_CPU_OUT_OF_SPEC”标志污染正在运行的 Linux 内核。

识别过时的 Intel CPU 微码版本并非易事，它依赖于每个 CPU 系列/型号/步进的不同 CPU 微码版本的静态列表。因此，随着时间的推移，该列表需要由 Intel 工程师更新和维护，以正确反映最新发布的微码版本。

现在，此补丁已通过 tip/tip.git x86 分支排队，除非有人在最后一刻对此报告提出异议，否则很可能会在一个月内提交至 Linux 6.16 合并窗口。

来源：cnBeta