Podatność sprzętowa w procesorach Intela – konieczny patch w jądrze Linux/Windows/OSX

03 stycznia 2018, 11:12 | W biegu | komentarze 23
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

The Register donosi o tajemniczej podatności sprzętowej w procesorach Intela (kilka generacji do tyłu), która w najgorszym przypadku umożliwia odczytanie pamięci jądra systemu z poziomu nieuprawnionego użytkownika:

At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel’s memory.

Potencjalny bug np. w przeglądarce internetowej nagle daje możliwość odczytania pamięci jądra (a tam np. znalezienie haseł w formie jawnej czy innych ciekawych kąsków) – wygląda niemiło prawda?

Może więc da się wykonać aktualizację chipów przy pomocy mikrokodu? Tym razem nie jest to ponoć możliwe. Wymienić fizycznie chip – też słabo.

Ostatnią deską ratunku okazało się przygotowanie aktualizacji na systemy operacyjne (dla Linuksa jest już,  dla Windowsa ma być lada moment).  Linuksowy patch ma jednak jak na razie jeden duży mankament, spowalnia on znacznie działanie wszystkich wywołań systemowych.

Finalne spowolnienie aplikacji wg The Register może dochodzić nawet do 30% (zależy to też od modelu procesora). Dla Postgresa np. najgorszy scenariusz to spadek wydajności o około 23%, choć w realnej sytuacji może on być znacznie mniejszy:

Note that real-world scenarios probably will see somewhat smaller impact, as this was measured over a loopback unix sockets which’ll have smaller overhead itself than proper TCP sockets + actual network.

Wszystkich szczegółów podatności jeszcze nie mamy – wręcz wprowadzono embargo informacyjne, łącznie z nieudostępnieniem publicznie dokumentacji do wykonanego w jądrze Linuksa patcha.

Do łatania przystąpili też dostawcy cloudowi – Amazon czy Microsoft, choć oficnalnie nie potwierdzają, że chodzi o wspomnianego wyżej buga.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dbx

    To co się dzieje w ostatnim czasie to jakaś masakra – BT, WiFi i teraz to…

    Odpowiedz
    • zero one

      Racja Kolego Dbx choć bardziej ciekawi ile się dzieje a nic o tym nie słychać. ;-( Zresztą jak zwykle.
      Szczęśliwego nowego roku Koleżanki, Koledzy i oczywiście Sekuraku. :-*

      Odpowiedz
    • Kot Rademenes

      To prawdopodobnie i tak tylko wierzchołek góry lodowej i najbliższe lata będą co najmniej ciekawe.

      Odpowiedz
    • polopol

      ot pęd za pieniądzem…

      Odpowiedz
  2. kszh
    Odpowiedz
  3. janusz

    To jest porażka, sam myślalem o kupnie nowego thinkpada ale wstrzymam sie pewnie do poprawionej serii procesorow. Pozwy sie posypia…

    Odpowiedz
    • Gdzieśtam pisali że najnowsze procki mają najmniejszy impact (przez pewne dodatkowe mechanizmy, które są w stanie w dużej mierze zniwelować to zwolnienie).

      Odpowiedz
      • Xyzz

        Od Haswelli w górę.

        Odpowiedz
  4. Eddie Murphy

    @Dbx

    Błędy były cały czas, teraz zostają znalezione i łatane, więc można na to patrzeć pozytywnie.

    Odpowiedz
  5. ProtemondKliks

    Ja przepraszam, ale moich jąder to nie dotyczy w innych nie zwykłem grzebać.
    Dziękuję.

    Odpowiedz
  6. PROTON

    Oj tam, Intel wymieni wadliwe procki na sprawne. Nie pierwsza akcja, kiedyś wymieniał Pentium 60/66/90 z wadliwym FPU.

    Odpowiedz
  7. czesław

    jakieś magiczne polecenie by sprawdzić czy łatka weszła do systemu pod debianem?

    Odpowiedz
  8. Jakub

    Kupiłem niedawno i7 6700k – na wp pisali że spadek wydajności tego konkretnego procesora wyniesie ok 44%, jest się czego obawiać? jeśli po pół roku od wydania kasy wydajność spadnie mi prawie o połowę, to jakbym dostał pięścią w twarz od intela… Reklamacje?

    Odpowiedz
    • Tok

      Na wp pisza wiele bzdur.. poki co nie pojawilo sie wiele testow uzytkowch… benchmark to jedno, codziennie uzytkowanie to calkowicie co innego, czym innym jedt tez uzytkowanie specjalistyczne… na kazdy z nich bedzie inny impact. Tym wiekszy im wiecej zmian contextu a raczej syscalli.
      Za chwile ludzie zaczna dramatyzowac ze im 5 fpsow spadlo w call of duty przez pacha… osobiscie nie przewiduje dla domowego usera zauwazalnego zwolnienia… co innego dostawcy i duzi uzytkowncy rozwiazan chmurowych… dla duzego klienta roznica nawet kilku procent moze w ciagu roku podniesc koszty uzytkowania chmury (no chyba ze dostawca to zrekompensuje po swojej stronie). Ale poki co to tylko gdybanie. Na cyferki musimy poczekac.

      Co do exploitowania bledow… jeden bedzie wyjatkowo ciezki do wykorzystania na szeroka skale, drugi, zalatany na nixach i win 10, faktycznie daje nadzieje na ciekawe naduzycia. Ale, pragne przypomniec ze tak naprawde teoria ataku (problemy z Speculative execution oraz atak na cache flush+Reload) byla znana juz duzo wczesniej…a jakies pol roku temu pojawil sie nawet wpis andersa fogh’a calkiem dokladnie opisujacy dzisiejsza sytuacje…
      tak wiec, uwazam ze na cala sprawe trzeba patrzyc ze spokojem i rozsadkiem.
      Nie wpadajmy w panike, bledy byly, sa, i beda.. byly tez latane, sa latane i beda latane. Tak to dziala i jeszcze przez jakis czas tak bedzie 😀.

      Boli natomiast mnie to ze niektore portale, niestety nawet branzowe (coby palcami nie pokazywac wlasciciela jednego z nich tego co lubi pokazywac sie w tvn) sieja ferment wsrod ludzi, ktorzy nie maja pojecia o technologii i ufaja we wszystko co im pan K. napisze, bo przeciez jest najlepszy z najlepszych… ale widac ze to sie lepiej sprzedaje niz uswiadamianie i edukacja

      Odpowiedz
      • @Tok – swoją drogą sam bug może być ostry może być nieostry (zależy co uda się wykraść :)
        Ciekawe może być połączenie z innymi bugami. Typu ktoś atakuje X serwerów (dostaje nieuprawnionego shella) z czego Y jest niepołatana, więc kolejny
        etap to żniwa na pamięci.

        Dużo też zależy od skuteczności exploita, ale wygląda na to że to co ma Google jest dość stabilne/skuteczne.

        Odpowiedz
  9. lcf
    Odpowiedz
  10. Krzysztof

    Hehe… jak tak dalej pójdzie, to niebawem kompy z i386, czy MC680x0 wrócą do łask :)

    Odpowiedz
  11. Krzysztof

    Tak BTW: czy ktoś wie, ile dokładnie generacji wstecz, i które procki (z tych dawniejszych) są bezpieczne „by design”, a dają już jakieś sensowne możliwości? Bo może warto powstrzymać proces utylizacji używanych, nieco starszych maszynek? :)

    Odpowiedz
    • Tok

      Atomy, bo sa tak wolne ze jakikolwiek patch spowoduje ich zatrzymanie 😀😀😀😀😀😀

      Odpowiedz
  12. Sss

    Co z telewizorani? Podatne?

    Odpowiedz
  13. asdf

    Gdzie można znaleźć instrukcję patcha na CentOSy i Ubuntu?

    Odpowiedz
    • Kamil

      Yum update kernel
      reboot

      Odpowiedz

Odpowiedz