Společnost Intel oficiálně potvrdila a oznámila další vážnou zranitelnost svých procesorů.
Jak jsem vás nedávno upozorňoval, Intel procesory mají další problémy, zranitelnosti a bezpečností díry, o kterých veřejnost stále ještě neví. A tohle je jedna z nich (bohužel ne jediná). Intel dlouho připravoval řešení s vývojáři operačních systémů, které stejně jako u MELTDOWN a SPECTRE problémů vlastně pro současné procesory neexistuje. Vše se neustále točí kolem vlastní architektury a konstrukce procesorů Intel, jež umožňuje jen částečně zpracovanému kódu přístup do jádra systému. Tzv. predikce dokáží podstatně navýšit výkon v některých případech, bohužel fyzické provedení architektury Intelu v jeho procesoru rovněž umožňuje přístup škodlivého SW do jádra systému. A neustále se nachází nové a nové možnosti, jak zranitelností architektury Intel využít k ukradení dat, průnikům do systémů, a to jak přímo, tak vzdáleně atd. MELTDOWN a SPECTRE nikam nezmizely, neustále se objevují nové verze SPECTRE a SW opravy prakticky nic neřeší. Jsou to pouze záplaty, které riziko zneužití zmírňují (občas za cenu snížení výkonu) fyzicky se procesory takto opravit samozřejmě nedají.
Aktuálně Intel oznámil široké veřejnosti nový problém, který se již aktuálně také záplatuje a ví o něm pochopitelně spoustu měsíců. Jmenuje se „ForeShadow“ a je ještě zákeřnější než předchozí problémy. Díky chybě lze prolomit zabezpečení ochrany virtuální paměti a ukrást či ovlivnit spoustu dat, včetně odcizení šifrovacích klíčů. Opět nejde o teoretický problém, ale prakticky byl ověřen opakovaně zdokumentován atd. Existuje více levelů tohoto problému.
Skutečná oprava opět není prakticky možná, jelikož jde opět o to, že sama architektura současných Intel procesorů několik generací zpět, je fyzicky nezabezpečena. Takže na řadu přichází opět jen SW záplaty, které již byly vydány a zejména na servery nahrány (proto Intel až teď o problému informuje). Nutné je však opět nejen aktualizovat operační systém, ale také mikrokód procesoru v BIOSu základní desky. Obojí již nějakou dobu provádějí zejména provozovatelé serverů s Intel procesory, protože serverů se problém samozřejmě týká v hlavní míře. Mnozí ale poukazují na fakt, že záplaty v podstatě celou věc ani úplně nezáplatují. Účinné řešení je až vypnutí HyperThreadringu. Tohle řešení se však Intel snaží pochopitelně mnoha provozovatelům vymluvit, protože má samozřejmě brutální dopad na výkon. Nicméně v LINUX OS systémech se v rámci opatření objevily přímo přepínače na deaktivaci HT u procesorů Intel. Ten samozřejmě kvůli zásadním výkonovým ztrátám tohoto bezpečnějšího řešení jeho problémů, jej nedoporučuje, ale zároveň doporučuje neumisťovat dva různé VM na jedno fyzické jádro procesoru, aby se riziko zneužití jeho díry v procesorech Intel omezilo.
Samozřejmě vypnutí HT má zásadní dopad na výkon procesorů Intel, bavíme se o desítkách %. Intel pochopitelně ví, že jeho SW řešení, záplaty atd. nejsou řešení a musí opravit fyzicky samotné čipy. Žádné procesory bez děr ale v tuto chvíli nemá, stále prodává všechny procesory tak jak jsou, tedy děravé jak řešeto. Spoléhal na to, že brzy představí novou 10nm generaci, která měla mít problém ošetřený fyzicky, ale to se nestane. 10nm výroba je v nedohlednu a Intel zůstává na 14nm. V rámci refreshe serverové platformy, kdy plánuje vydat Cascade Lake-SP, Intel upraví architekturu a tyto procesory by údajně měly mít minimálně opraven Meltdown problém. V případě chystaných Core 9000 procesorů je však pravděpodobné, že ty opraveny stále nebudou.
Pro zajímavost, AMD se nově zveřejněná zranitelnost „ForeShadow“ opět netýká, stejně jako se jí netýká „MELTDOWN“ a velmi minimálně se AMD týkají pouze některé věci kolem SPECTRE. Obě zásadní zranitelnosti však u AMD procesorů včetně serverových EPYC čipů jednoduše neexistují, protože architektura AMD je postavena tak, aby podobné možnosti průniku vůbec neumožňovala. AMD tedy provozovatele serverových řešení s jeho EPYC procesory upozorňuje, aby žádný software „řešící“ ForeShadow na své platformy nenahrávali.
Pro běžné uživatele PC, stejně jako v předchozích případech, budou postupně opravy nabízeny v rámci aktualizací Windows automaticky, takže se jim nevyhnete. Výkon opět může být v řádu jednotek % negativně ovlivněn v některých specifických případech (U ForeShadow je dopad na výkon neznatelný, ale bude znatelný v případě, že se rozhodnete vypnout HT u vaše Intel procesoru). Aktualizace BIOSu, která však je nutnou podmínkou pro skutečné zabezpečení, zůstává na samotných uživatelích, a proto bohužel problémy Intelu budou přetrvávat a ohrožovat úplně všechny neustále, jelikož velká část počítačů zůstane jen částečně zabezpečena a stále tak otevřena útokům a možnému zneužití bez vědomí jejich uživatelů.
Jediným skutečným řešením je používání procesorů, které fyzicky ty zranitelnosti nemají. Ty však v současnosti nabízí pouze AMD (alespoň zatím neníznámo, že by zranitelnosti měly). Intel stále prodává všechny své čipy děravé a první alespoň částečně opravené čipy mají být serverové Cascade Lake-SP. Bohužel vám současně musím sdělit, že existují další zranitelnosti, na jejichž záplatování se pracuje, které mají opět dopady na výkon a které nejsou z pochopitelných důvodů zatím veřejně oznámeny. Situace se stává stále vážnější. Za normálních okolností by byl prodej děravých Intel procesorů samozřejmě dávno zastaven (stejně jako se nesmějí prodávat potenciálně vadné a rizikové jiné produkty), jenže v normální situaci nejsme. Intel je klíčová technologická firma a zastavení prodejů jeho procesorů by ochromilo většinu trhu a znamenalo by velké zemětřesení, pravděpodobně značný růst cen procesorů AMD, které by muselo řešit, jak zvládnout skokově navýšenou poptávku. Nemluvě o milionech počítačů Intel na skladech výrobců a ve výrobě, které by se nesměly prodávat. Intel nemá v tuto chvíli žádný procesor, který by problém neměl, by prakticky zmizel z trhu … Není proto divu, že se děravé procesory Intel stále prodávají, bezpečnost je sice důležitá, jak nám všichni stále opakují při každé možné příležitosti, ale samozřejmě peníze jsou důležitější a vždy až na prvním místě, jak nám většina následně dokazuje ….
Architektura Core je přešlechtěná. Dokud neudělají novou architekturu na nových nanometrech a pokud možno bez pasty šedivky, tak mě nabídka Intel vůbec nezajímá. Fakt lituju ty idioty s čtyřjádry core i7 co stály jako osmijádra AMD.
BTW lidem co kupují PC z druhé ruky by se mělo oznámit jak odstranit příčinu jejich přehřívajícího se CPU Intel „i když mají chladič za 3 litry s namazanou nejlepší pastou". To bude vyléčenejch obětí marketingu .
to ze notbook v roce 2018 nebude zvládat prohlížení 2 a více oken prohlížeče nemůže zmenit to ze firmy nebudou kupovat procesory intel (i5 6300) 2 a méně jader za cenu 30 000kč
Keď Intel jedného dňa opraví väčšinu chýb vo svojich procesoroch (deravé vylepšienia pre zvýšenie výkonu), tak budú mať rovnaký alebo nižší jednovláknový výkon ako procesory Ryzen od AMD.
Možná spoléhají na to, že s tolika dírama v systému už to hackery nebude bavit, už to nebude výzva. To je asi jako kdybyste nechali auto s otevřenými okénky, bez zapnutého alarmu a s klíčky v zapalování někde v noci na neosvětlené ulici... No ale v Chánově radši svou teorii ověřovat nebudu
kludne si mozete robit srandu z Intelu mam s nimi len dobre skusenosti aj, ked par veci sa najde co je problem.
Minuly rok som mal R5 1600 s drahou B350 doskou a tie prepady FPS zo 70 pod 45 bolo nieco hrozne aj so silnou GPU, frekvencia ramiek nesla nad 2666 MHZ ani po niekolkych updateoch dosky, tento rok brat kupoval do tej dosky 2700X CPU a odpalila sa (ziadne OC sme nerobili), nova doska X470 neviem preco ale ked sme nastavili frekvenciu Ramiek na 3200 MHZ tak sa pc kazdu pol hodinu restartovalo samo od seba a nevedeli sme prist na chybu, kvoli niecomu aj SSD bolo velmi pomale a ako keby bolo niecim zatazovane, PC sme dali aj na otestovanie do obchodu a nevedeli prist na to kde je chyba, moji kamarati mali zas iny problem s AMD zostavami, jeden jediny nemal problem, tak mi povedzte co kupit? sli sme do 8700 nakoniec...tie diery v bezpecnosti su ale stale je to rychle CPU s vysokymi FPS a bolo to len zapojenie a okamzite vsetko slapalo bez problemov.