Открита е критична уязвимост в процесорите на Intel

10-годишна уязвимост в процесорите Intel изисква пренаписване на големи парчета от кода на операционните системи, за да се избегнат хакерски инвазии

Фундаментална грешка във всички съвременни процесори на Intel, пуснати в последните 10 години, застави разработчиците на Linux и Windows спешно да пренаписват големи части от кода, за да затворят уязвимостта.

Пълните подробности за уязвимостта са под ембарго, докато не бъде пусната кръпка, което се очаква да стане към средата на 2018 г., заедно с новото ядро на Linux и ежемесечното обновление на сигурността на Windows. Възможно е проблемът вече да е решен още в ядрото 4.14.11, като се има предвид големия размер на инкременталния пач.

Към момента е известно, че преодоляването на хардуерния проблем може да доведе до спад в производителността на приложенията за Intel процесори с 5 до 30% и дори с 63% за някои задачи. По-новите чипове на Intel имат възможности да намалят спада на производителността при прилагане на очакваните кръпки.

От AMD уверяват, че в техните процесори липсва подобна уязвимост, но такава вероятно е налична и в чиповете с архитектура ARM 64, според публикацията по проблема в theregister.co.uk. На обновление подлежат не само Windows и Linux за x86, но и епълската macOS.

Същността на уязвимостта е, че при спекулативно изпълнение на код, процесорите на Intel не проверяват сигурността на инструкциите, които четат сегменти от паметта. А това позволява на всяко потребителско приложение да получи достъп до паметта на ядрото и по този начин да прочете затворени данни от рода на криптиращи ключове и пароли. Описаният проблем представлява голяма опасност и за системите за виртуализация.

За решаване на проблема разработчиците прибегнали до пълно разделяне на паметта на ядрото и паметта на потребителските процеси. Подобно решение обаче води до сериозен спад в производителността, заради постоянната необходимост от замяна на указателите на паметта.

Разработчиците на ядрото на Linux на шега предлагали абревиатури за новите модели за разделяне на паметта на ядрото и потребителските процеси: User Address Separation (*_uass) и Forcefully Unmap Complete Kernel With Interrupt Trampolines (fuckwit_*), но в крайна сметка избрали по-отговорното Kernel Page Table Isolation (kpti_*).

Специалисти от GRSecurity са тествали кръпките и съобщават за огромен спад в производителността на системите. Техните наблюдения се потвърждават и от разработчиците на PostgreSQL, които установили за намаляване на производителността на системата с 23%.

Коментари по темата: „Открита е критична уязвимост в процесорите на Intel”

добавете коментар...

  1. _

    до haha/ха,

    Не е вярна глупостта, която изтърси.

    Всички съвременни операционни използват доста сръчно всички процесорни ядра.

    Времеделенето си остава, защото всяка ОС изпълнява паралелно по 100+ процеса паралелно. Ако разчиташ само на 4 изчислителни ядра, ще можеш да изпълняваш само 4 задачи паралелно. Доста тъпо и ограничаващо, предвид нуждите на нормален потребител.

    Ако пуснеш сериозни, синхронни изчисления, някои Unix-и даже имат режим, в който практически спират времеделенето. От една-две години насам и Linux го има.

    В потребителските ОС подобна функционалност няма, защото е пълен дебилизъм.

    Самото времеделене е подход, който по абсолютно никакъв начин не е в конфликт с многоядрена и/или многопроцесорна работа. Напротив, позволява доста сериозна гъвкавост – всеки процес може да бъде прехвърлян между ядрата според нуждите му.

    Всъщност, съвременните ОС имат доста интересни алгоритми за разпределяне на работата между много процесорни ядра, като дори поддържат асиметричен хардуер какъвто са например съвременните ARM процесори – комбинация от високопроизводителни и енергийно ефективни ядра (примерно 2 x A72 + 4 x A53 ядра).

    А, че голяма част от софтуера се прави от дебили, които не могат да напишат 2 реда код работещи паралелно, това също е вярно. За щастие, тия не са мнозинство.

  2. ха

    do Rotor
    Кое не е вярно?

  3. Ох

    Да, ще си купим нов хардуер, но никога вече от Интел.

  4. aze

    pach 229 KiB e virus ane obnovlenie

  5. Rotor

    hahah
    Говориш пълни глупости! Не знам изобщо в ролята си на какъв ги нареди тия простотии. То хубаво всеки да си има мнение, ама чак пък толкова е малко прекалено.

  6. hahah

    Поредния начин да ви накарат да си купите нов хардуер и да продължат да ви продават софтуер от миналия век. Откакто излязоха многоядрените процесори, софтуера изостава и то драстично. Трябва нов тип операционна система. Обаче няма такава, ползваме си старите, изтъркани и годни само за еднопроцесорна работа. и не ми излизайте с номера, че вече ползват всички ядра, ползват ги, ама емулрат едно и го правят всичките ОС. Нито една не работи с много задачи на много ядра. Множеството задачи се изпълняват както преди 30 г. с времеделене.

Коментар