8Aug
Procesoarele de calculatoare au un defect masiv de design, iar toată lumea se străduiește să o repare. Numai unul dintre cele două găuri de securitate poate fi patch-uri, iar patch-urile vor face PC-urile( și Mac-urile) cu jetoane Intel mai lent. Actualizare
: O versiune anterioară a acestui articol a declarat că acest defect a fost specific pentru chips-uri Intel, dar asta nu este întreaga poveste. Există, de fapt, două două vulnerabilități principale , denumite acum "Meltdown" și "Spectre".Meltdown este în mare parte specifică procesoarelor Intel și afectează toate modelele CPU din ultimele câteva decenii. Am adăugat mai multe informații despre aceste două erori, precum și despre diferența dintre ele, la articolul de mai jos.
Ce sunt Meltdown și Spectre?
Spectre este un "defect de design fundamental" care există în fiecare CPU de pe piață - inclusiv cele de la AMD și ARM, precum și de la Intel.În prezent, nu există o soluție software și probabil va necesita o reproiectare completă a hardware-ului pentru CPU-uri - deși, din fericire, este destul de dificil de exploatat, potrivit cercetătorilor din domeniul securității. Este posibil să se protejeze împotriva anumitor atacuri Spectre, iar dezvoltatorii lucrează la aceasta, dar cea mai bună soluție va fi redesenarea hardware a procesorului pentru toate cipurile viitoare.
Meltdown-ul face din Spectre mai rău, făcând vulnerabilitatea nucleului de bază mult mai ușor de exploatat. Este în esență un defect suplimentar care afectează toate procesoarele Intel realizate în ultimele decenii. De asemenea, afectează unele procesoare high-end ARM Cortex-A, dar nu afectează cipurile AMD.Melting-ul este patch în sistemele de operare de astăzi.
Dar cum funcționează aceste defecte? Programele
care rulează pe computerul dvs. rulează cu niveluri diferite de permisiuni de securitate. Kernelul sistemului de operare - kernel-ul Windows sau kernel-ul Linux, de exemplu - are cel mai înalt nivel de permisiuni, deoarece rulează spectacolul. Programele desktop au mai puține permisiuni, iar kernelul restricționează ceea ce pot face. Kernel-ul utilizează caracteristicile hardware ale procesorului pentru a ajuta la impunerea unor restricții, deoarece este mai rapid să o faci cu hardware decât software.
Problema este aici cu "executare speculativă".Din motive de performanță, procesoarele moderne execută automat instrucțiunile pe care le consideră necesare pentru a le rula și, dacă nu, ele pot pur și simplu returna și readuce sistemul la starea anterioară.Cu toate acestea, un defect al procesoarelor Intel și al unor procesoare ARM permite proceselor să execute operațiuni pe care nu ar putea să le ruleze în mod normal, deoarece operațiunea este efectuată înainte ca procesorul să deranjeze dacă ar trebui să aibă permisiunea de al rula sau nu. Asta-i eroarea Meltdown.
Problema de bază atât cu Meltdown cât și Spectre se află în cache-ul CPU-ului. O aplicație poate încerca să citească memoria și, dacă citește ceva în cache, operația se va termina mai repede. Dacă încearcă să citească ceva ce nu este în memoria cache, se va termina mai încet. Aplicația poate vedea dacă ceva se termină rapid sau lent și, în timp ce orice altceva în timpul executării speculative este curățat și șters, timpul necesar pentru a efectua operația nu poate fi ascuns. Apoi poate folosi această informație pentru a construi o hartă a oricărui lucru în memoria calculatorului, câte unul câte unul. Cachingul accelerează lucrurile, dar aceste atacuri profită de optimizarea respectivă și o transformă într-o defecțiune de securitate.
Deci, în cel mai rău scenariu, codul JavaScript care rulează în browserul dvs. web ar putea citi în mod eficient memoria pe care nu ar trebui să o aibă acces, cum ar fi informațiile private deținute în alte aplicații. Furnizorii de servicii de tip cloud, cum ar fi Microsoft Azure sau Amazon Web Services, care găzduiesc mai multe programe diferite ale companiei în diferite mașini virtuale pe același hardware, sunt în mod deosebit în pericol. Software-ul unei persoane ar putea, teoretic, să spioneze lucrurile în mașinile virtuale ale unei alte companii. Este o defalcare în separarea dintre aplicații. Patch-urile pentru Meltdown înseamnă că acest atac nu va fi la fel de ușor de tras. Din nefericire, punerea în aplicare a acestor controale suplimentare înseamnă că unele operații vor fi mai lentă pe hardware-ul afectat. Dezvoltatorii
lucrează la software-uri care fac ca atacurile Spectrelor să fie mai dificil de executat. De exemplu, noua caracteristică Google de izolare a site-ului Google vă ajută să protejați acest lucru, iar Mozilla a făcut deja unele modificări rapide în Firefox. De asemenea, Microsoft a făcut unele modificări pentru a ajuta la protejarea Edge și Internet Explorer în Windows Update, care este acum disponibil.
Dacă sunteți interesat de detaliile adânci de nivel scăzut despre Meltdown și Spectre, citiți explicația tehnică din echipa Project Zero a Google, care a descoperit bug-urile anul trecut. Mai multe informații sunt de asemenea disponibile pe site-ul MeltdownAttack.com.
Cât de lent va fi PC-ul meu?
Update : La 9 ianuarie, Microsoft a lansat câteva informații despre performanța plasturelui. Potrivit Microsoft, Windows 10 pe PC-urile din 2016, cu procesoare Skylake, Kabylake sau Intel, arată "încetiniri de o singură cifră" pe care majoritatea utilizatorilor nu ar trebui să le observe. Windows 10 pe PC-urile din 2015 cu Haswell sau un procesor mai vechi ar putea să înregistreze o încetinire mai accentuată și Microsoft "se așteaptă ca unii utilizatori să observe o scădere a performanței sistemului".
Utilizatorii Windows 7 și 8 nu sunt la fel de norocoși. Microsoft spune că "se așteaptă ca majoritatea utilizatorilor să observe o scădere a performanței sistemului" atunci când utilizează Windows 7 sau 8 pe un PC din epoca 2015 cu Haswell sau un procesor mai vechi. Nu numai că Windows 7 și 8 utilizează procesoare mai vechi care nu pot executa patch-urile la fel de eficient, dar "Windows 7 și Windows 8 au mai multe tranziții ale kernel-urilor utilizatorilor datorită deciziilor de design moștenite, cum ar fi toate redarea fonturilor care au loc în kernel-ul", iar acest lucru încetinește și mai mult lucrurile.
Microsoft intenționează să-și realizeze propriile repere și să elibereze mai multe detalii în viitor, dar nu știm exact cât de mult va fi afectat de patch-ul lui Meltdown. Dave Hansen, dezvoltator de kernel-uri Linux care lucrează la Intel, a scris inițial că modificările făcute în kernel-ul Linux vor afecta totul. Potrivit lui, majoritatea sarcinilor de lucru înregistrează o încetinire cu o singură cifră, cu o decelerare de aproximativ 5% fiind tipică.Cel mai grav scenariu a fost o încetinire de 30% a unui test de rețea, deși, deci, variază de la sarcină la sarcină.Acestea sunt numere pentru Linux, cu toate acestea, astfel încât acestea nu se aplică neapărat la Windows. Fixarea încetinește apelurile de sistem, deci sarcinile cu o mulțime de apeluri de sistem, cum ar fi compilarea de software și rularea mașinilor virtuale, probabil vor încetini cel mai mult. Dar fiecare bucată de software utilizează unele apeluri de sistem. Update
: Începând cu 5 ianuarie, TechSpot și Guru3D au realizat câteva criterii de referință pentru Windows. Ambele site-uri au ajuns la concluzia că utilizatorii desktop nu au prea multe de îngrijorat. Unele jocuri pe PC observă o încetinire ușoară de 2% cu patch-ul, care se află în marja de eroare, în timp ce altele par să funcționeze identic. Redarea 3D, software-ul de productivitate, instrumentele de compresie a fișierelor și utilitățile de criptare par a fi neafectate. Cu toate acestea, criteriile de citire și scriere a fișierelor arată diferențe vizibile. Viteza de citire rapidă a unei cantități mari de fișiere mici a scăzut cu aproximativ 23% în reperele Techspot, iar Guru3D a găsit ceva similar. Pe de altă parte, Tom's Hardware a constatat o scădere medie a performanței cu un test de stocare a aplicațiilor pentru consumatori de numai 3,21% și a susținut că "reperele sintetice" care indică scăderi mai accentuate în viteză nu reprezintă utilizarea în lumea reală.
Calculatoarele cu procesor Intel Haswell sau mai nou au o caracteristică PCID( Identificatori de proces-context) care va ajuta patch-ul să funcționeze bine. Computerele cu CPU Intel mai vechi pot înregistra o scădere mai mare a vitezei. Recomandările de mai sus au fost efectuate pe CPU-uri moderne Intel cu PCID, deci nu este clar cum vor funcționa procesoarele Intel mai vechi.
Intel declară că încetinirea "nu ar trebui să fie semnificativă" pentru utilizatorul obișnuit al calculatorului și, până în prezent, pare a fi adevărată, dar anumite operațiuni înregistrează o încetinire. Pentru cloud, Google, Amazon și Microsoft au spus în mod substanțial același lucru: pentru majoritatea încărcărilor de lucru, nu au observat un impact semnificativ asupra performanței după lansarea patch-urilor. Microsoft a spus că "un mic set de clienți [Microsoft Azure] poate avea un impact de performanță în rețea". Aceste declarații nu fac loc unor sarcini de lucru pentru a înregistra încetiniri semnificative. Jocurile Epic au dat vina pe patch-ul Meltdown pentru cauzarea problemelor serverului cu jocul Fortnite și au publicat un grafic care arată o creștere uriașă a utilizării CPU-ului pe serverele sale de tip cloud după instalarea patch- ului.
Dar un lucru este clar : Computerul dvs. nu este cu siguranta obtinerea mai rapid cu acest patch. Dacă aveți un CPU Intel, acesta poate deveni mai lent - chiar dacă este cu o sumă mică.
Ce trebuie să fac?
Unele actualizări pentru a remedia problema Meltdown sunt deja disponibile. Microsoft a lansat o actualizare de urgență a versiunilor acceptate de Windows prin Windows Update la 3 ianuarie 2018, dar nu a reușit încă la toate PC-urile. Actualizarea Windows care rezolvă problema Meltdown și adaugă unele protecții împotriva Spectrului este numită KB4056892.
Apple deja a copiat problema cu macOS 10.13.2, lansat pe 6 decembrie 2017. Chromebookurile cu Chrome OS 63, lansate la mijlocul lunii decembrie, sunt deja protejate. Patch-urile sunt, de asemenea, disponibile pentru kernel-ul Linux.
În plus, verificați dacă PC-ul dvs. are actualizări BIOS / UEFI disponibile.În timp ce actualizarea Windows a rezolvat problema Meltdown, actualizările microcodului procesorului de la Intel livrate printr-o actualizare UEFI sau BIOS sunt necesare pentru a activa complet protecția împotriva unuia dintre atacurile Spectre. De asemenea, ar trebui să vă actualizați browserul web - ca de obicei - pe măsură ce browserele adaugă și unele protecții împotriva lui Spectre. Actualizarea
: La 22 ianuarie, Intel a anunțat că utilizatorii ar trebui să înceteze să implementeze actualizările actualizate ale firmware-ului UEFI din cauza "repornelor mai mari decât se așteptau și a altor comportamente imprevizibile ale sistemului".Intel spune acum că trebuie să așteptați un finisaj firmware UEFI care a fost testat corespunzător și nu va cauza probleme de sistem.
În timp ce o lovitură de performanță pare rău, vă recomandăm să instalați aceste patch-uri oricum. Dezvoltatorii sistemelor de operare nu ar face astfel de modificări masive, cu excepția cazului în care acest lucru a fost un bug foarte rău, cu consecințe grave.
Patch-ul de software în cauză va remedia defectul Meltdown, iar unele patch-uri software pot ajuta la atenuarea defectului Spectrelor. Dar Spectre va continua să afecteze toate procesoarele moderne - cel puțin într-o anumită formă - până când va fi lansat un nou echipament hardware pentru ao remedia. Nu este clar modul în care producătorii se vor ocupa de acest lucru, dar între timp, tot ce puteți face este să continuați să folosiți computerul și să vă bucurați de faptul că Spectre este mai dificil de exploatat și oarecum mai preocupat de cloud computing decât de utilizatorii finaliPC-uri desktop.
Credit de imagine: Intel, VLADGRIN / Shutterstock.com.