Powa偶ny b艂膮d w CPU Intela. Wymiana procesora lub mocne spowolnienie?

W architekturze procesor贸w Intela oraz ARM odkryto b艂膮d. Umo偶liwia on wyciek informacji przechowywanych w pami臋ci j膮dra. I chocia偶 nie ma jeszcze zanotowanych atak贸w z u偶yciem tej luki, 艂atwo si臋 spodziewa膰, 偶e to tylko kwestia czasu.

Konsekwencje odkrycia b艂臋du w procesorach Intela i ARM s膮 do艣膰 powa偶ne. Z odkryt膮 dziur膮 w zabezpieczeniach mo偶na poradzi膰 sobie tylko na dwa sposoby. Albo wymieni膰 CPU, albo zainstalowa膰 specjaln膮 艂atk臋, kt贸ra jednocze艣nie zmniejszy wydajno艣膰 procesora. W niekt贸rych przypadkach mo偶e to by膰 ograniczenie do艣膰 dramatyczne. Nawet powy偶ej 50%. Najsilniej odczuj膮 to u偶ytkownicy korzystaj膮cy z maszyn wirtualnych.

Poniewa偶 problem dotyczy procesor贸w Intel X86-64 zagro偶one s膮 nie tylko domowe pecety i laptopy, ale te偶 chmury obliczeniowe Google Compute Engine, Microsoft Azure czy Amazon EC2. Co gorsze, problem jest na poziomie procesora, a wi臋c niezale偶nie od systemu operacyjnego jeste艣my nara偶eni na atak. Wyj膮tkiem jest sytuacja, gdy w waszym komputerze dzia艂a uk艂ad AMD, w kt贸rych to CPU problem ten nie wyst臋puje.

Geneza odkrycia luki si臋ga lata 2017 roku. Wtedy grupa badaczy pokaza艂a jak omija膰 ASLR (Address Space Layout Randomization), czyli technologi臋 polegaj膮c膮 na losowej lokalizacji adresowania kodu systemowego. Jako uzupe艂nienie powsta艂 te偶 artyku艂 nt. odczytywania pami臋ci j膮dra CPU z poziomu u偶ytkownika.

Problem nie jest wi臋c nowy. Wed艂ug cz臋艣ci analityk贸w Intel od jakiego艣 czasu dyskretnie pr贸buje go zniwelowa膰. 艢wiadcz膮 o tym przede wszystkim szybkie zmiany w ostatnim czasie w j膮drze Linuksa. Do艣膰 niezwyczajne jest tak偶e i to, 偶e zmiany te s膮 aplikowane r贸wnie偶 do starszych wersji systemu.

Core i3. i5 oraz i7, ale te偶 Xeony, Pentiumy, Celerony, a nawet Atomy. Zagro偶enie jest do艣膰 szerokie i dotyczy wszystkich tych CPU (fot. Intel)

Poprawka na systemy Windows ma pojawi膰 si臋 na dniach. Gigant z Redmond pracuje nad nimi, wed艂ug cz臋艣ci doniesie艅, a偶 od listopada 2017 roku.

B艂臋dy w architekturze i zabezpieczeniach zdarza艂y si臋 w przesz艂o艣ci i b臋d膮 zdarza艂y nadal. Rzecz w tym, 偶e w opisywanym przypadku wdro偶enie rozwi膮zania (艂atki) skutkuje do艣膰 poka藕nym spadkiem wydajno艣ci. Wed艂ug testu autorstwa grsecurity przeprowadzonym z u偶yciem linuksowej 艂atki i procesora Intel Core i7-6700 mo偶emy utraci膰 nawet 63% mocy obliczeniowej CPU. Wed艂ug test贸w przeprowadzonych przez Phoronix z u偶yciem i7-8700K spadek mo偶e si臋ga膰 30%. Je艣li poprawka dla Windows b臋dzie r贸wnie „kosztowna” to zapowiada si臋 pocz膮tek roku pe艂en pozw贸w.

Tak znacz膮ce r贸偶nice mog膮 oznacza, 偶e w niekt贸rych zastosowaniach procesory po prostu przestan膮 wype艂nia膰 swoj膮 rol臋 r贸wnie dobrze co wcze艣niej (fot. Phoronix)

Sk膮d tak poka藕ny spadek wydajno艣ci? Patch przesuwa ca艂y kod j膮dra na osobny, odseparowany zakres adres贸w pami臋ci. Ka偶de wywo艂anie funkcji j膮dra oznacza konieczno艣膰 prze艂膮czenia si臋 mi臋dzy zakresami: „u偶ytkownika” i „kernelowym”. A to niestety nie jest proces natychmiastowy. Wymusza bowiem na procesorze zrzut pami臋ci. 艁atka dla Windows prawdopodobnie b臋dzie dzia艂a艂a na tej samej zasadzie.

Czy u偶ytkownicy AMD s膮 bezpieczni? Tak. Czyli spowolnienie wywo艂ane 艂atk膮 ich nie dotknie? No c贸偶… by艂oby zbyt dobrze. AMD dostanie rykoszetem, bo chocia偶 procesory tego producenta nie zawieraj膮 opisanego wy偶ej b艂臋du, to 艂atka (przynajmniej jej linuksowa wersja) wp艂ywa negatywnie r贸wnie偶 na wydajno艣膰 procesor贸w pozbawionych opisywanej luki.

Co pozostaje u偶ytkownikom? Czy Intel zamierza jako艣 zrekompensowa膰 u偶ytkownikom straty w wydajno艣ci? Zapytali艣my polski oddzia艂 kalifornijskiego giganta o opini臋 w sprawie. Kiedy j膮 otrzymamy, z pewno艣ci膮 dowiecie si臋 pierwsi.

Na koniec: ciekawostka. CEO Intela, Brian Krzanich pod koniec roku ograniczy艂 swoje prywatne udzia艂y w firmie sprzedaj膮c wi臋kszo艣膰 posiadanych akcji.

[aktualizacja] Intel wyda艂 o艣wiadczenie w tej sprawie | CHIP