Вразливість у процесорах Intel

Аватар користувача
Юрій
Новачок
Повідомлень: 50
З нами з: 08 листопада 2016, 17:46
Звідки: Рівне
ПІБ: Ілючек Юрій Флавіанович
Підрозділ: Відділ ІТ

Вразливість у процесорах Intel

Повідомлення Юрій » 03 січня 2018, 17:26

Якщо повідомлення вірні, Intel допустила досить серйозну уразливість в своїх центральних процесорах, і її не можна виправити оновленням микрокода. Уразливість зачіпає всі процесори Intel за останні років десять як мінімум.

Закриття уразливості вимагає оновлення ОС, патчі для Linux вже вийшли, Microsoft планує закрити її в рамках традиційного щомісячного «вівторка патчів». На даний момент деталі уразливості не розголошуються, але деякі подробиці все-таки випливли назовні завдяки Python Sweetness і The Register.

Зображення

Уразливість дозволяє програмам отримувати несанкціонований доступ до певних даними в захищеній області пам'яті ядра. Запобігти цьому можна, запровадивши ізоляцію пам'яті ядра (Kernel Page Table Isolation), яка зробить ядро ​​«невидимим» для поточних процесів. Це не ідеальне рішення проблеми, але прийдешні патчі для Windows, Linux і macOS використовуватимуть саме цей підхід.



Однак подібне рішення може дуже серйозно вдарити по продуктивності. Падіння продуктивності через ізоляції може досягати 30 відсотків. На щастя, останні моделі процесорів Intel з технологією PCID (ідентифікатори контексту процесу), можливо, дозволяють зменшити падіння продуктивності, хоч і не уникнувши його зовсім.

Уразливість може експлуатуватися в реальних умовах; під удар, в першу чергу, можуть потрапити компанії, що використовують віртуалізацію.

«Розробка програмного рішення проблеми ведеться в терміновому порядку, і вже недавно воно було впроваджено в ядро ​​Linux; в ядрах NT таке рішення почало з'являтися в листопаді, »- повідомляє блок Python Sweetness. - «В гіршому випадку це спричинить за собою серйозне уповільнення в повсякденних завданнях.

»Є привід підозрювати, що уразливі популярні оточення для віртуалізації, включаючи Amazon EC2 і Google Compute Engine."

Microsoft Azure і Amazon Web Services вже запланували тимчасове відключення серверів на наступному тижні, хоч і не дають коментарів з приводу причини робіт. Однак, ймовірно, саме необхідність захиститися від можливих атак з використанням знайденої уразливості є його причиною.

Зауважте, що AMD поки не згадувалася ні разу. Все просто: процесори AMD не схильні до даної уразливості - а, отже, і не потребують ресурсномісткою захисту від неї.

Томас Лендакі, учасник працює з Linux групи в AMD, повідомляє:

«Процесори AMD не схильні до атак, від яких захищає ізоляція пам'яті ядра. Архітектура AMD не дозволяє отримати доступ до даних при відсутності відповідних привілеїв. »



До того ж, нові серверні чіпи EPYC від AMD, а також їх десктопні процесори Ryzen Pro мають технологію шифрування захищеної пам'яті, що дає додатковий захист від атак подібного роду.

Так чи інакше, поки деталі патчів не розкриваються, і Intel зі зрозумілих причин воліє мовчати, нам залишається тільки чекати, коли можна буде повністю оцінити серйозність проблеми і загрозу, яку вона несе існуючим комп'ютерним платформам. Але на даний момент все це виглядає дуже серйозно. Патч з рішенням (kpti) для Linux додав в ядро ​​особисто Лінус Торвальдс.

Phoronix вже протестували продуктивність при включеному kpti і прийшли до висновку, що можливі просадки до 17-18 відсотків.

Також повідомляється, що патч для Linux буде за замовчуванням включати kpti і на комп'ютерах з процесорами AMD, викликаючи відповідне падіння продуктивності. AMD не рекомендує використовувати kpti на комп'ютерах з процесорами AMD. Деталі рішення для Windows поки невідомі.