Уязвимость в процессорах Intel

#1

Недавно открыта уязвимость в процессорах Intel
Фундаментальная ошибка проектирования всех современных процессоров Intel, выпущенных за последние 10 лет, заставила разработчиков Linux и Windows в срочном порядке переписывать значительные куски кода ядер для того, чтобы закрыть недавно открытую в них уязвимость. Архитектура ARM64 также подвержена уязвимости.

Детали уязвимости находятся под эмбарго до тех пор, пока не будут выпущены исправления, которое намечается на середину января 2018 года, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows. Проблема возможно уже исправлена в ядре 4.14.11, учитывая огромный размер инкрементного патча (229 KiB).

По известным сейчас данным, обход этой аппаратной проблемы может привести к падению производительности приложений на процессорах Intel от 5 до 30% и даже до 63% на некоторых задачах. Более новые чипы от Intel имеют в своём арсенале возможности (PCID / ASID), позволяющие сократить провал в производительности при применении исправления.

Суть уязвимости, скорее всего, заключается в том, что процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра, тем самым позволяя прочитать закрытые данные, такие как ключи шифрования и пароли. Большую опасность проблема также представляет для систем виртуализации, так как позволяет получить доступ к памяти вне гостевой системы.

Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских приложений, однако такое решение приводит к серьёзному падению производительности из-за постоянной необходимости замены указателей на память. Разработчики ядра Linux в шутку предлагали следующие аббревиатуры для новой модели разделения памяти ядра и пользовательских процессов: User Address Separation (*_uass) и Forcefully Unmap Complete Kernel With Interrupt Trampolines (fuckwit_*), однако остановились на Kernel Page Table Isolation (kpti_*).

Разработчики из GRSecurity протестировали патчи и увидели огромное падение производительности. Разработчики PostgreSQL отметили падение производительности в тесте pgbench на 23% (при использовании процессоров с PCID - 17%). Из-за сильного влияния на производительность разработчики патча предусмотрели опцию для отключения KPTI, которая активируется через передачу параметра "nopti" при загрузке ядра.

Компания AMD утверждает, что её процессоры уязвимости не подвержены. Работа над исправлением уязвимости в других операционных системах также активно ведётся.
.
Источник новости.

#2

x230 писал(а): ↑
03 янв 2018, 13:40
Суть уязвимости

Meltdown(Так назвали уязвимость, позволяющую «расплавить» (melt) стену между приложением, которое должно работать в своей маленькой песочнице», и памятью системы, куда ему, по-хорошему, доступ запрещен. Таким образом, программа может получить доступ ко всей памяти компьютера.) и Spectre(призрак). Meltdown даёт доступ ко всему компьютеру, к данным всех приложений, способен прорваться через границы виртуальных машин. Дело в том, что очень часто мощный сервер обслуживает сразу несколько сайтов, для каждого из них на физической машине создаётся виртуальный компьютер. Некто по хостингу сможет подглядеть пароли пользователей, и наоборот. Spectre не может копнуть на уровень операционной системы, но дотянется до других приложений. Проблема в том, что даже если последний раз вы устанавливали новое приложение многие месяцы назад, ваш компьютер всё равно каждый день исполняет код, загруженный извне — ведь веб-страницы напичканы скриптами на языке JavaScript. Они тоже могут использовать уязвимость, чтобы добраться до данных других приложений или, скажем, соседних вкладок в том же браузере.

x230 писал(а): ↑
03 янв 2018, 13:40
Компания AMD утверждает, что её процессоры уязвимости не подвержены.

AMD в своём отчёте рассказала, атака Meltdown на её процессорах невозможна, а вот «Призраку» они подвержены наполовину: один способов взлома сработал, а другой, якобы, «маловероятен» в силу неких отличий в архитектуре.

ikrost · #3

Я уже совсем запутался. Эти журналисты, плохо разбирающиеся в вопросе постоянно пишут броские заголовки - процессоры интел, амд, мак все (все) подвержены уязвимости.

immortal14 · #4

Это не уязвимости а спец закладки для спецслужб

#5

Вообще не вижу повода для паники. Люди и без этих уязвимостей тащат на комп всякий софт сомнительного происхождения, расширения в браузер. Я уж молчу про Windows Torrent Edition.

#6

di_mok, так основная паника из за JS как я понял, на котором (вроде как) может быть реализован Meltdown. Хотя я так и не понял как это можно сделать на высокоуровневом языке без сисколов, обращений к регистра и прочего (но я не спец) , но вроде пишут что шанс реален. Вроде были какие-то полу рабочие примеры уже на гит. Ну и вроде как можно тогда читать пароли, куки и прочее с соседних вкладок.

Причём это все не оставляет следов...

А если отключить в браузере JS, то сайты почти перестанут работать.

#7

Главное сейчас вот в чем: дырка позволяет только читать, или модифицировать тоже (даже только хаотично)? Если второе - это полный писец для всего интернета как минимум. Сравнимый с атомным.

ikrost · #8

https://games.mail.ru/pc/articles/hard/ ... m=informer

Restart1566 · #9

Вот здесь все написано достаточно внятно

#10

x230 писал(а): ↑
03 янв 2018, 13:40
Компания AMD утверждает, что её процессоры уязвимости не подвержены.

а в статье на comss.ru говорится что:
" .... уязвимыми для Meltdown являются практически все процессоры с 1995 года (за исключением Intel Itanium и Intel Atom) до 2013 года”.
...Meltdown был проверен только против процессоров Intel, AMD и ARM процессоры не тестировались...
...
...Google проверила Spectre против процессоров Intel, AMD и ARM. Атака оказалась успешной в случае с ПК, ноутбуками, облачными серверами и смартфонами. Считается, что атака затрагивает почти все выпущенные в последние годы процессоры. ..."
Meltdown и Spectre это 2 лица одной и тойже уязвимости

Sveta · #11

Всё это замечательно написано, но что мне, домохозяйке, с этим конкретно надо делать сейчас?

Ядро 4.4.0-104-generic.
Всё предложенное "Менеджером обновлений" я накатила.

#12

Sveta, Активно тестят убунтоиды перед запуском, по их словам - https://wiki.ubuntu.com/SecurityTeam/Kn ... ndMeltdown
Сейчас можно взять под 4.4 отсюда - http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.4.111/
Но можно просто подождать, с высочайшей долей вероятности - никто вас пока не взломает до фикса

#13

Sveta писал(а): ↑
10 янв 2018, 16:38
что мне ... делать сейчас?

Сказано же уже жишь

Restart1566 писал(а): ↑
10 янв 2018, 14:00
Вот здесь все написано достаточно внятно

#14

Sveta писал(а): ↑
10 янв 2018, 16:38
Всё предложенное "Менеджером обновлений" я накатила.

Уже прилетело и в репы, услышали видать

Sveta · #15

Замечательно!

Дождались.

ikrost · #16

Вот так - замедление значит. Тесты на Линуксе кто нибудь делал интересно

https://thecommunity.ru/microsoft/windo ... yandex.com

#17

ikrost, редхат публиковал документ, где в различных задачах производительность может просаживаться на 18-20% . И несколько выше при работе в виртуальных окружениях.
Впрочем к десктопным сценариям оно относится мало, и на запатченых ядрах я не выявил явных просадок по цпу.

Кто сейчас на конференции