Рубрика развивается при поддержке
Advertisement

Критическая уязвимость в процессорах Intel заставила разработчиков Windows и Linux менять ядро систем Статьи редакции

Обновления безопасности могут замедлить компьютеры.

Продолжение: Intel заявила, что не только в её процессорах есть уязвимость.

В чипах Intel обнаружили уязвимость, которая позволяет злоумышленникам получить доступ к паролям, файлам и данным, находящимся в памяти ядра. Производитель не может сам исправить баг: его могут закрыть только разработчики, переработав архитектуру ядра на уровне системы.

Баг затрагивает все процессоры Intel, выпущенные в последние 10 лет. Он позволяет всем обычным программам получить доступ к содержимому в защищённой части памяти ядра. Среди таких данных могут оказаться пароли, кэшированные файлы с диска, ключи доступа программ и не только. Опасность бага состоит в том, что благодаря уязвимости злоумышленники могут перехватывать эту информацию даже через JavaScript-код, запущенный в браузере.

Остальные подробности уязвимости скрыты в целях безопасности, однако инженер AMD предположил, что проблемой является принцип работы процессоров Intel: они пытаются предугадать код, который будет исполняться дальше, и ради скорости делают это без необходимых проверок безопасности. Это и даёт возможность запустить вредоносный код на уровне ядра.

Суть исправлений состоит в том, чтобы полностью отделить память ядра от пользовательских процессов. Однако из-за этого многие приложения могут начать работать медленнее, так как через ядро некоторые задачи обрабатываются быстрее всего.

В течение последних двух месяцев программисты работали над обновлением ОС, которое закрывает дыру безопасности в Linux и Windows. Судя по тестовым сборкам программы Windows Insider, Microsoft может выпустить патч для своей системы уже 9 января. Обновление ядра Linux уже выпустили, однако разработчики дистрибутивов могли пока не успеть добавить его в свои системы.

Издание The Register отметило, что обновления могут снизить производительность компьютеров на базе Linux на 5-30% в зависимости от моделей процессора и задач: более свежие чипы меньше подвержены уменьшению мощности. Исследователь Андрес Фронд (Andres Freund) провёл собственный эксперимент, который показал, что в лучшем случае производительность падает на 17%, а в худшем — на 30%.

Патчи потребуются и пользователям других систем, включая macOS: судя по всему, Intel не может решить проблему только лишь с помощью обновлений прошивки чипа.

Подробная информация об уязвимости остаётся в тайне: разработчики Linux специально отредактировали комментарии к обновлениям, а Windows в принципе не раскрывает подробности работы над исправлениями. Это делается для того, чтобы злоумышленники не могли воспроизвести баг, так как пользователи пока не получили патчи.

Производитель процессоров AMD сообщил, что его чипы не подвержены уязвимости, так как их архитектура не предусматривает подобные манипуляции. Акции компании выросли на фоне проблем с процессорами конкурента.

Intel публично не комментировала ситуацию. Однако известно, что гендиректор компании Брайан Кржанич в середине декабря продал 889 тысяч акций Intel, оставив на руках только 250 тысяч акций. Он выручил с этого 54 миллиона долларов.

0
148 комментариев
Популярные
По порядку
Написать комментарий...
Парадный каякер

При этом Ceo интела слил все свои акции, которые мог, за месяц до того как о баге стало известно

30
Парадный каякер

Посадят, это инсайдерской торговля

4
Парадный каякер

Докажут — посадят.

6
Парадный каякер

Ща добавим, спасибо!

2
Парадный каякер

Поправочка: через месяц после того как о баге стало известно и за месяц до патчей в ядро Linux, откуда уже стало известно широким массам.

0
Парадный каякер

Комментарий удален по просьбе пользователя

0
Парадный каякер

Новогодний подарок от Intel: патч, который замедлит твой комп на 5-30%

23
Парадный каякер

Чтобы не отключался на морозе

3
Парадный каякер

Подарок от Intel на новый год.

7
Парадный каякер

У AMD второй хороший год начался.

6
Парадный каякер

Комментарий удален по просьбе пользователя

4
Парадный каякер

Тут все погромисты.

11
Парадный каякер

Простому пользователю нужно дождаться 9 января, поставить обновление, и радоваться жизни.

4
Парадный каякер

и радоваться жизни

пусть и на 30% тускнее

9
Парадный каякер

Так вроде уже ядро то и выпустили, почему 9?

0
Парадный каякер

Да пока нихуя не ясно: они ж даже не комментируют саму лажу, что уж говорить о вариантах развития на будущее. Логичнее всего сказать, что надо брать новое, когда исправят, но вопрос в том, как будут работать пропатченные версии ОС — вдруг теперь вообще нигде нельзя будет использовать внутреннюю память ядра?

1
Парадный каякер

Комментарий удален по просьбе пользователя

–1
Парадный каякер

Покупай Эльбрус, будь патриотом!

1
Парадный каякер

Новые процы если появятся, то будут не раньше чем через полгода. И полюбас будут стоить очень дорого.

0
Парадный каякер

Повод сменить платформу на АМД, они как раз обещают совместимость сокетную для новых процев. :)

1
Парадный каякер

10 лет не знали об уязвимости , интересно сколько лет о ней не знали спецслужбы или для них ее и сделали ?

6
Парадный каякер

Сначала они баганули Bluetooth, потом Wi-Fi, теперь до железа добрались. Скоро откатимся в каменный век

4
Парадный каякер

Там безопаснее.

7
Парадный каякер

Моя ПК (палка-копалка) воз хакт.

2
Парадный каякер

Статистика возражает.

1
Парадный каякер

На первый взгляд - треш, угар, содомия и повод кричать.
На второй взгляд - в принципе, не все так плохо, ведь в обычных десктопных компах роль процессора не так велика и ваши любимые игры не сильно просядут.

А вот третий взгляд - он самый любопытный. Сетевые соединения, базы данных на серверах - почти целиком на процессоре.

Казалось бы, причем тут Телеграм? _:)
Такие сервисы, как Telegram, будут очень подвержены замедлению.

Варианта три:
- у Telegram на серверах процессоры AMD и все ок.
- у Telegram процессоры Intel, обновляться они не будут и они (и мы с вами) будем жить надеждой, что они сидят на чистой FreeBSD, не накатывают обновлений и сторонний софт и чаша масштабных эксплойтов их будет миновать и дальше.
- у Telegram процессоры Intel, они обновятся и мы будем наблюдать либо всеобщее замедление, либо им придется компенсировать падение очередным расширением парка серверов. Здравствуйте, новые расходы! А серваки в таких сервисах, как Телеграм - это много денег. И геморроя.

С точки зрения информационной работы, на месте Дурова и ко я бы подготовил публичный ответ на тему "будете ли вы обновляться, а то несекьюрно, наши данные в опасносте!" уже сейчас.

Вот так, бывает, проблемы в одном сегменте отражаются на другом. А вы говорите "зачем нам Иран".

На самом деле, в комменте на место Телеграм можно поставить почти что угодно, конечно :D Извините, я не удержался вставить конкретно Телегу и Иран. Раз уж у нас все вокруг этого.

5
Парадный каякер

Получается, если у меня MySQL сейчас крутится на Intel, то будет значительное замедление и лучше переходить на сервер с AMD? Или что делать вообще? Как сильно замедлится база? Хотя бы примерно.

1
Парадный каякер

ожидай минус около 15-25%

если у тебя на сервере исключено выполнение стороннего кода, то ты можешь отключить изоляцию, передав ядру при загрузке параметр `nopti`

1
Парадный каякер

MySQL

Зачем? :) Если тебя действительно волнует скорость: мускул же самый медленный из современных баз, не?

–1
Парадный каякер

Постгрес вроде как раз на 30% замедлился. Мускул скорее всего ждет аналогичный эффект.

0
Парадный каякер

17-23% постгрес писали

0
Парадный каякер

Охуенная аналитика, еще бы в вопросе разобраться.

pti отключается одним параметром в загрузчик ядра, если очень захотеть:
https://www.opennet.ru/opennews/art.shtml?num=47849

0
Парадный каякер

То есть ты предлагаешь отключить патч безопасности, из-за которого весь сыр бор, и называешь это "фиксом"?

1
Парадный каякер

В смысле, достаточное количество игор напирают на процессор.

0
Парадный каякер

С AMD всё немного сложнее: Алекс Ионеску утверждает, что Том из AMD мог немного поспешить с выводами и патчем https://twitter.com/aionescu/status/948576989622882304

2
Парадный каякер
2
Парадный каякер

Ryzen one love

1
Парадный каякер

Главное не покупать его до сентября было, а так все ок

1
Парадный каякер

Очень мутное и ламерское описание в статье получилось. Ну ладно. Кто этот инженер амд и с чего он решил что дело в предсказании ветвлений? Раньше подобные ошибки были и касались приколов с dma и прочим в том же духе. Вот например видео с описанием похожей дыры

1
Парадный каякер

Вобщем судя по патчу тут дыра в доступе непривилегированного кода к системным страницам памяти в его адресном пространстве.
Но видимо дыра только в чтении, еслибы дыра давала возможность записи, то залатать было бы нельзя, как минимум процесс всё равно мог бы повесить систему засрав обработчики прерываний.

1
Парадный каякер

Кто этот инженер амд

Инженер AMD - это Томас Лендаки, "вошел в айти" как минимум ещё 32 года назад.

и с чего он решил что дело в предсказании ветвлений?

Это коллективный разум додумал то, что он случайно проболтал. В своём сообщении он говорил исключительно про процессоры AMD.
Очевидно, что если он в своём патче отменяет фикс, то он в курсе того, что он исправляет.
https://lkml.org/lkml/2017/12/27/2

0
Парадный каякер

Тут вопрос ещё как он так быстро разобрался, или они это уже полгода латают? Так сходу утверждать что ни в каком проце амд такой дыры не было это надо нехилый такой разбор провести по всем процам. Правда может ограничились теми на которых линукс ещё пашет, но таких тоже много должно быть

0
Парадный каякер

почему мне прилетел Push этой новости на смартфон? Пуши вызывают желание куда-то бежать и прятаться.

0
Парадный каякер

Комментарий удален по просьбе пользователя

10
Парадный каякер

Производитель процессоров AMD сообщил, что его чипы не подвержены уязвимости, так как их архитектура не предусматривает подобные манипуляции

только, говорят, фикс в ОС порежет и их производительность

0
Парадный каякер

Совсем не обязательно, разработчики могут добавить условие, при котором новый код будет работать только на устройствах с процессорами intel, а AMD оставить как прежде:
if (isIntel()) {
newMethod();
} else {
oldMethod();
}

1
Парадный каякер
2
Парадный каякер

В рантайме каждый раз проверять? Серьезно? Я бы сделал уж тогда две версии ядра, для амд и интел. Так ведь и было до амд64. Плюс самому собирать не сложно. А если уж рантайм, то тогда просто один раз при загрузке задетектить проц и посетить нужное смещение в какой-нибудь таблице указателей на функции работы с памятью.

1
Парадный каякер

А где говорят?

1
Парадный каякер

Комментарий удален по просьбе пользователя

0
Парадный каякер

Ох как сейчас залетает офисный софт, работающий на базах данных. Особенно сетевой.

1
Парадный каякер

Ничо не будет. Там жирных запросов нет, а если есть, при нормальной организации ими сервер занимается.

0
Парадный каякер

Да-да, расскажи это бухгалтершам бюджетных учреждений, которые на облачной 1с сидят и ноют, что всё тормозит.
Не знаю как у 1с, но у многих вычисления проводятся прямо на sql-сервере.

1
Парадный каякер
1
Парадный каякер

Пишут, что производительность почти не падает.

0
Парадный каякер

Очень сильно зависит от типа нагрузки. Если начнете крутить какую-нибудь СУБД типа PostgreSQL, то дроп будет заметным. В случае же повседневных задач и игр (без DRM) изменение действительно будет почти незаметно.

0
Парадный каякер

я на 10.3.2 с самого выхода. На глаз работает как и до. Но замеров и тестов не делал

0
Парадный каякер

Нихуя не понял, объяснишь?)

0
Парадный каякер

Первая часть фикса уже вышла в 10.13.2, вторая будет в 10.13.3.

0
Парадный каякер

Кстати Intel выпустила прогу для проверки на уязвимость:
https://downloadcenter.intel.com/download/27150

1
Парадный каякер

Нет, это для другой проблемы, основанной на Intel Management Engine.

0
Парадный каякер

Сразу вспоминается печально знаменитая ошибка TLB в AMD Phenom первого поколения. Тогда тоже был выпущен патч, снижавший производительность примерно на 10%.

1
Парадный каякер

На хабре (вернее, на гиктаймс) строили теории заговора. Прямо как с эпол.

1
Парадный каякер

Комментарий удален по просьбе пользователя

0
Парадный каякер

Комментарий удален по просьбе пользователя

0
Парадный каякер

По пессимистичным оценкам, уже Pentium Pro содержит косяк.

0
Парадный каякер

Вот уж кто-то баганул, так баганул. Царь-баг

8

Комментарий удален

Парадный каякер

Комментарий удален по просьбе пользователя

1
Парадный каякер

Coreboot решает проблему?

0
Парадный каякер

Каким образом?

1
Парадный каякер

Лол, придётся покупать новый ноут, если у вас как у меня процессор впаян в плату.

0
Парадный каякер

Зачем? Фикс же уже есть

0
Парадный каякер

Интересно, как раз хотел обновить старичок 3770k на что-нибудь новее, может это сам ГОСПОДЬ намекает на АМД.

0
Парадный каякер

А под какие цели?

0
Парадный каякер

Интересно, мой пенёк Е6300 в опасности?

0
Парадный каякер

Пойду, достану из кладовки запылившийся старый системник на AMD

0
Парадный каякер

Кто-нибудь в курсе, уязвимость распространяется и на Android? Например, у той же Lenovo куча планшетов с интеловскими процессорами.

0
Парадный каякер

Аппаратная же

0
Парадный каякер

следующий комп теперь точно соберу на амд

0
Парадный каякер

Intel выпустили заявление, мол все не так плохо https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

0
Парадный каякер

AMD предварительно сообщили что у них ещё лучше

https://www.cnbc.com/2018/01/03/amd-rebukes-intel-says-flaw-poses-near-zero-risk-to-its-chips.html

To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time.

0
Читать все 148 комментариев
null