Na začátku letošního roku se veřejnost dozvěděla o několik značně kontroverzních zranitelností, které mají hlavně procesory Intel. Část zranitelností SPECTRE se týká spíše operačních systémů, nicméně týkají se všech procesorů (AMD, INTEL, ARM atd.) a opravy pro ně nezpůsobují žádný pokles výkonu ani problémy se stabilitou systémů. Bohužel vážnější část SPECTRE a MELTDOWN problémů a zranitelností se týká výhradně Intel procesorů a záplaty způsobují pokles výkonu, horší stabilitu a v některých případech dokázaly vyřadit PC úplně po aktualizaci.

Situace je opravdu vážná, protože Intel ještě nevyřešil tu první sadu problémů, aktualizace, BIOS a update pro první verze SPECTRA a MELTDOWN vycházejí neustále a stále způsobují měřitelný pokles výkonu v řadě aspektech, i horší stabilitu systému a poslední aktualizace které byly součástí update Windows 10, dokonce museli být pro některé Intel systémy pozastaveny úplně. Navíc řada systémů není zabezpečena a měla by být, protože škodlivý SW všeho druhu se na objevené a využitelné zranitelnosti výrazně zaměřuje. Bohužel problémům není konec …

Už před několika týdny vyšlo najevo, že existují další verze zejména SPECTRA problému a objevených zranitelností, o kterých veřejnost zatím neví, které však hlavně Intel (na jehož naléhání bylo prodlouženo utajení nových problémů před veřejností) stále řeší. Opravy a záplaty měly být dostupné už začátkem května, což ale Intel nestihl. Nyní vycházejí oficiálně najevo první podrobnosti nové sady a verzí problémů a opět se týkají hlavně té díry v architektuře Intel, kterou Intel roky využíval ke zvýšení výkonu v řadě oblastí, tedy možnosti přístupu nezpracovaných dat do jádra systému.

Intel ale není sám, který musí na nová zjištění reagovat, ovšem má zdaleka nejvíce práce, protože ostatní procesory nejsou zdaleka tak postižené, protože jednoduše nemají určité prvky architektury, které jsou bezpečnostní riziko. Proto se AMD zatím většinou úspěšně jakékoliv problém v tomto duchu vyhýbají a ke snižování výkonu tím, že ten prvek architektury musí aplikace přestat využívat, se ho netýká. Bohužel aktuální informace tvrdí, že Intel nedokáže nové problémy vyřešit záplatou bez toho, aby nebyl postižen výkon. Aktuálně dostupné záplaty a nové chyby snižují výkon o 2 – 8%, tedy opět, další snížení, kdy Intel sám přiznal a změřil, že podobné snížení výkonu měly za následek i opravy předchozích variant SPECTRE a MELTDOWN problémů.  

Zatímco u současných generací procesorů Intel (SKYLAKE/KABY LAKE/COFFEE LAKE, což je jedno a to samé) je sice hlavně v benchmarcích ten pokles výkonu nepříjemný a je vidět a znát (zejména testy SSD trpí poklesem výkonu i o 15% v praxi), tyto čipy stále mají dost výkonu v praxi, aby běžný uživatel nic moc nepostřehl. Problém však je, že u slabších procesorů se 2 jádry anebo u starších generací je pokles výkonu v souvislosti se záplatami i v praxi znatelnější. U her jsme si všimli a změřili v poslední době znatelné propady minimálních FPS u mnoha Intel čipů atd.

Ve své podstatě jde stále o stejné problémy, kdy se však nachází nové a nové způsoby zneužití objevených zranitelností a musí se tak zdokonalovat záplaty. Částí problémů jsou postiženy úplně všechny čipy na trhu všech architektur a výrobců, největší problémy má ale Intel, právě kvůli tomu, že jeho procesorová architektura už 10 let dovoluje přístup nezpracovaného kódu do jádra systému, a to právě proto, že v některých ohledech to dokáže věci urychlit. Je to ovšem také obrovské a dnes už bohužel prakticky zneužitelné bezpečnostní riziko, takže se tomu musí zabránit, což ovšem najednou znamená, že Intel prostě mají neopravitelnou díru v sobě a záplaty nutí nepoužívat něco, co spousta aplikací mnoho let používala. Intel čipy tím tak nutně přichází i výkon ale také přichází problémy se stabilitou a chodem, kdy saháte na něco, co bylo prostě roky používáno a je na tom řada věcí závislá. Je téměř vyloučeno, že by se to dalo vyřešit bez potíží, které s tím Intel prostě má. Vše vyřeší až skutečně nová architektura a generace Intel procesorů, na což si ovšem ještě počkáme.

Mnozí uživatelé se tak ptají na to, jak zabránit instalacím těch záplat a aktualizací, které se stávající povinnou součástí velkých UPDATE pro LINUX i WINDOWS. No jednoduše je neinstalovat, ovšem osobně si myslím, že to není správné řešení. Řešením by bylo vyměnit čipy za méně děravé nebo neděravé a rozhodně neignorovat problémy s tím spojené. V žádném případě nedoporučuji aktualizace vypínat a ignorovat. Moc dobrých rad prostě v této situaci není, problém je to hlavně Intelu a ten se k tomu čelem příliš nestaví. Prodávat procesory o kterých ví že tu díru fyzicky mají, je prostě divné. Chápu, že by Intel neměl co prodávat (procesory bez té díry nemá), ale když by dnes výrobce auta prodávat něco s výrobní vadou na brzdách, a jako řešení nabízel lépe polstrovanou palubní desku, taky by to asi nebylo OK.

AUTOR: Jan "DD" Stach
Radši dělám věci pomaleji a pořádně, než rychle a špatně.

Starší články

Nekupujte předražené 6jádro Core i7-8700K – potvrzen 8jádrový mainstreamový Intel. Jaký bude? AMD Ryzen ThreadRipper 2950X, 2920X a 2900X dorazí v srpnu – extrémní high end za super cenu INTEL procesory mají další vážné chyby a díry – podrobnosti jsou tajeny, Intel se snaží o opravy 10nm procesory Intel jsou u ledu – čeká nás 14nm refresh současného refreshe a to možná dva! Intel končí s prodejem asi nejhloupějších modelů procesorů v historii – nikdo je nechtěl.

Komentáře

Přidat Nový

shadowmage [Zobrazit profil] [Poslat zprávu] 2018-05-24 13:05:18 Jednoduše je neinstalovat...to jaksi u W10 nejde, když mi ta jejich podělaná záplata vyřadila starou mašinu s Turionem, zkusil jsem vše možné. Registry, služby, plánovač úloh, všude jsem služby vypnul a nebo rovnou smazal. Za pár dní tam byli zase. Jinak konečně si zase člověk zahraje staré pecky, ještě pár záplat a z Core i5 bude dvacet let stará 486... Jen jestli na půdě vyhrabu ještě USB disketovku a diskety s Dunou nebo prvním Warcraftem...

Shiffty 66 [Zobrazit profil] [Poslat zprávu] 2018-05-25 01:19:47 Kdepak soudruzi z Intelu udělali chybu, když to jde od 10 k 5?

shadowmage [Zobrazit profil] [Poslat zprávu] 2018-05-25 12:25:40 Jednoduše usnuli na vavřínech, takových příkladů najdeš spousta. V mobilech dneska po Nokii a nebo Blackberry neštěkne pes, a svého času byli v obyčejných, respektive chytrých telefonem špičkou. V životě by mě nenapadlo, jak Blackberry dopadne, jenže pomalá reakce na vývoj a předraženost systému ho zničila. Intel se choval jak dobytek, každé dva roky měnil patici, to mu neprominu a i s novým notebookem čekám na něco od AMD. K tomu se ještě přidružilo čistě praktické hledisko, AMD nabízí víc za míň peněz a s menším množstvím chyb. Nemyslím že by to Intel zničilo, ve firemní sféře se pořád jede setrvačností a za ta léta ví, kde pustit nějaký ten dolar na úplatcích a marketingu. Ale na tržbách to pocítí, to je jasné, v čase Athlonů a Bartonů kupoval taky Pentium 4 domů jen magor a nebo ten, kdo dělal s úzkým okruhem specializovaných věcí, kde byli na Intel optimalizace. Ale firmy jeli na Intelech a velcí výrobci vesměs taky

Oldis [Zobrazit profil] [Poslat zprávu] 2018-05-25 14:02:28 Aby jste získali přehled o tom jak se dá spectre a meltdown využít doporučuju toto video: https://www.youtube.com/watch?v=rwbs-PN0Vpw DD to dost zjednodušuje a řekl bych přímo že i komolí. Jde o natolik specifickou zranitelnost že se to týká většinou jen serverů, kde se někomu vyplatí tímhle způsobem zjišťovat data v keši jiného procesu, je otázka co tím získá a domacích uživatelů se to prakticky netýká.

shadowmage [Zobrazit profil] [Poslat zprávu] 2018-05-25 14:12:39 To je moc hezké, ale pokud nemám možnost ovlivnit updaty (W10), a výrobce mi nainstaluje záplatu, co mi sníží výkon a řeší to ať chci a nebo nechci, tak je mi to stejně na dvě věci....

aDDmin [Zobrazit profil] [Poslat zprávu] 2018-05-25 14:39:39 kež by to bylo jak píšeš .... kdyby s tím nebyl problém pro běžné uživatele, Intel by se s tím ani nezabýval, rozhodně by neodkládal vydání záplat a záplatami by nesnižoval výkon i funkčnost svých produktů ... taktéž kdyby to bylo v pohodě jak naznačuješ, AMD by jistě podobný prvek mělo ve svých CPU také, protože přináší výkon ... důrazně bych varoval před lidmi jako ty, kteří se snaží bagatelizovat problém, který tu je ... situace je vážná, na serverech je samozřejmě mnohem vážnější díky podílu Intel čipů v nich, ale o nic méně vážná není ani u uživatelů, nejde ani tak o bezpečnost a data uživatelů jako fakt, že napadaný počítač může sloužit pro jiné účely někomu atd. opravy jsou navíc napevno součástí update BIOSů a také UPDATE pro LINUX, Windows, Chrome, ANDROID, Apple OS atd. ... kdyby se to běžných uživatelů netýkalo jak píšeš, nikdo by záměrně výkon a funčknost čipů takhle neničil ...

Oldis [Zobrazit profil] [Poslat zprávu] 2018-05-25 20:14:31 na serverech je to problém protože dockerizace/para/virtualizace a ze serveru typicky bude útočník chtít získat data ke kterým nemá šanci se dostat jednodušší cestou. Kdyby ses podíval na to video tak by ses dověděl že AMD má taky predictory, ale má na každý vlákno jeden, intel má jeden na jádro, tedy jeden na dvě vlákna. https://youtu.be/rwbs-PN0Vpw?t=2259 A u meltdown amd resi opravneni pred a intel az po, cili oba resi opravneni jen v jinem poradi a proto to u amd nehrozi. A povik kolem toho je kvůli servrům a data centrům. Win běží na spoustě serverů proto se ty záplaty pro něj řeší, hlavně kvůli serverům v podnikový sféře.

shadowspawn [Zobrazit profil] [Poslat zprávu] 2018-05-25 17:47:04 problem je, ze attack vector, ktory tieto bugy moze zneuzit moze mat formu cookies, chatu, emailu, javascriptu a mnohych dalsich objektov, takze zranitelnost nie je obmedzena len na servery ale tiez klientov (home PC) ano Spctre je velmi narocny na realizaciu kvoli tomu, ze monitoruje spravanie procesu a priebezne ho "trenuje" k spusteniu specifickej instukcie v privilleged mode kernelu pre dany proces co nie je bezny stav, z pohladu externeho procesu ktory sa snazi exploit realizovat Meltdown ale je zasadnejsi prave preto ze spekulativna exekucia nevyzaduje pristup do privilleged modu kernelu k registrom pre dany proces

Oldis [Zobrazit profil] [Poslat zprávu] 2018-05-25 19:58:14 Jo vektor je širokej, přes cokoliv co překládá do bytecodu a provádí ho, takže javascript souhlasim, řeší prohlížeče. ale cookies, můžeš popsat jak přes cookies?

harrym [Zobrazit profil] [Poslat zprávu] 2018-05-27 09:06:04 Ta zranitelnost je pouze teoretická. Asi tak něco podobnýho jako čekat, že když do kalný vody vystřelím z kulovnice, že vyplave zabitá ryba. Ano možné to je, ale reálné ne.

aDDmin [Zobrazit profil] [Poslat zprávu] 2018-05-27 15:33:28 kdyby to tak bylo tak to Intel neřeší snižováním výkonu svých CPU v praxi atd.

Pouze registrovaní uživatelé mohou přidat komentář!