Мир корпоративных ИТ
Статті

«Чипокалипсис» Intel: замедление ПК до 30% для Windows, Linux и macOS

09 января, 2018. 10:01 Иван Николенко
Теги: #Intel, #Windows, #Linux, #Mac_OS
Аппаратная уязвимость процессоров Intel позволяет считывать память ядра, содержащую конфиденциальную информацию. В группу риска попали устройства под управлением Windows, Linux и macOS. Ликвидация уязвимости понизит производительность этих устройств от 5% до 30%.

В процессорах Intel, выпущенных за последние 10 лет, найдена уязвимость, подвергающая риску устройства под управлением всех популярных ОС — Windows, Linux и 64-битной macOS. Баг найден в аппаратуре архитектуры x86-64. Чтобы обезвредить уязвимость, требуется обновление на уровне ОС. Или можно просто купить новый процессор, не содержащий уязвимость.

Учитывая скорость, с которой будут внесены изменения в Windows и Linux, уязвимость является очень серьезной. Microsoft намерена включить соответствующий патч в ближайшие вторничные обновления. Патчи для Linux тоже уже разрабатываются. Apple также работает над проблемой.

Риску подвержены, также, облачные экосистемы, в том числе Amazon EC2, Microsoft Azure и Google Compute Engine. Microsoft собирается выпустить обновление завтра, 10 января.

Уязвимость позволяет обычным пользовательским программам видеть содержимое защищенной памяти ядра. Вредоносное ПО может читать память ядра, где хранятся пароли, логины и другая конфиденциальная информация.

Когда пользовательская программа выполняет запись в файл или открытие сетевого подключения, она передает контроль над процессором ядру. Чтобы переключение между пользовательским режимом и режимом ядра происходило быстро, ядро присутствует во всех адресных пространствах виртуальной памяти процессов, оставаясь при этом невидимым для программ. Уязвимость в процессорах Intel нарушает этот режим невидимости.

Также может быть нарушена рандомизация размещения адресного пространства ядра (KASLR). Предупредить это можно с помощью пакета патчей KAISER, разработанного в Грацком техническом университете в Австрии для разделения пространства пользователя и пространства ядра.

Для обезвреживания этой уязвимости память ядра нужно изолировать от пользовательских процессов с помощью механизма Kernel Page Table Isolation. Патч переместит ядро в полностью изолированное адресное пространство. То есть, оно вообще перестанет присутствовать в процессах.

Но, из-за этого переключение между режимом пользователя и режимом ядра начнет занимать гораздо больше времени, поскольку процессору придется сбрасывать кэшированные данные и перезагружать информацию из памяти. Это может привести к потери производительности на различных устройствах. По данным The Register, Linux и Windows угрожает замедление работы от 5% до 30%. По macOS данных пока что нет.

Потеря производительности будет зависеть от конкретной модели процессора и выполняемой им в данный момент задачи. Более новые процессоры Intel имеют такие функции как идентификаторы процессов и контекстов (PCID), которые должны помочь уменьшить спад производительности.

По материалам The Register, CNews

 

Комментарии:
Новые статьи