Кое-какеры из Intel заставят Линуса работать по-стахановски: различия между версиями
| [непроверенная версия] | [досмотренная версия] |
Содержимое удалено Содержимое добавлено
AKA MBG (обсуждение | вклад) м AKA MBG переименовал страницу [[Разработчики Intel сели в лужу, сначала сделали корявые процессоры с дырами (уязвимость Meltdown), затем латают дыры… |
AKA MBG (обсуждение | вклад) в процессе |
||
Строка 3:
{{тема|Наука и технологии|Intel}}
[[File:Meltdown.png|left|уязвимость Meltdown]]
есть уязвимость в процессорах Intel, Intel пытались ее исправить, но патчи принесли больше проблем, чем уязвимости
После множества сообщений от пользователей, установивших обновление безопасности для исправления уязвимостей [[w:Spectre (уязвимость)|Spectre]] и [[w:Meltdown (уязвимость)|Meltdown]] и пожаловавшихся на значительное снижение [[w:Вычислительная мощность компьютера|производительности]], внезапные перезагрузки и подобные неприятные "сюрпризы", компания [[w:Intel|Intel]] провела тестирование производительности до и после установки патчей и опубликовала полученные результаты.
4 января 2018 года была [https://googleprojectzero.blogspot.ru/2018/01/reading-privileged-memory-with-side.html обнародована] информация об аппаратных уязвимостях (уязвимости, имеющиеся в аппаратных средствах и возникшие при проектировании, разработке и производстве аппаратных средств), позволяющих пользовательским программам получить несанкционированный доступ на чтение памяти, используемой ядром операционной системы. В группу риска попадают все устройства с процессорами Intel, выпущенными за последние 10 лет, работающие под управлением ОС [[w:Windows|Windows]], [[w:Linux|Linux]] и 64-битной [[w:macOS|macOS]]. В результате эксплуатации уязвимостей программа, запущенная от имени пользователя, может отслеживать другие программы и похищать данные из памяти ядра, других программ и виртуальных машин. Т.о., если процессор компьютера подвержен уязвимости, работать с секретной информацией небезопасно, высок шанс утечки информации.
В начале прошлой недели компания Intel выпустила патчи для исправления уязвимости. Основатель Linux Линус Торвальдс высказался о патчах как о [https://lkml.org/lkml/2018/1/21/192 полнейшем мусоре], а корпорация стала вскоре получать сообщения о потере производительности вплоть до 30%, вследствие чего компании пришлось провести исследование эффективности патчей.▼
В начале прошлой недели компания Intel выпустила патчи для исправления уязвимости.
Линус Торвальдс (основатель [[Linux]]) высказался о патчах как о [https://lkml.org/lkml/2018/1/21/192 полнейшем мусоре].
{{начало цитаты}}
Если Intel решить выдать бесплатный процессор каждому, кто покупал их за последние 20 лет, то это будет не такой бред (как то, что сейчас делает Intel).
{{oq|en|If the alternative was a two-decade product recall and giving everyone free CPUs, I'm not sure it was entirely insane. /[[Линус Торвальдс]]/}}
{{конец цитаты}}
В патчах используется технология "Indirect Branch Restricted Speculation".
[[File:Kernel page-table isolation.svg|300px|thumb|right|Один набор страниц в ядре включает страницы и пространства ядра, и пространства пользователя. Второй набор, использующийся в пространстве пользователя, содержит копию страниц пространства пользователя и минимальный набор обработчиков вызовов и прерываний из пространства ядра.]]
Суть проблемы в том, что вредоносный код, запущенный на том же процессоре, что и другие программы, может вмешиваться в их работу, в работу ядра или [[w:Гипервизор|гипервизора]]. Для решения проблемы нужно добавить ещё одного слагаемое при вычислении виртуального адреса ячейки, это можно сделать с помощью фишки ядра Линукс с длинным название [[w:Kernel page-table isolation|Kernel page-table isolation]] (KPTI). Этот KPTI
Malicious code running on the same CPU as your application can infer the content of your process, your kernel, or your hypervisor. A major step forward in addressing this has been to add another translation step of the virtual address space using a process called Kernel Page-Table Isolation (KPTI).
Kernel page-table isolation
▲
[https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/ Результаты] тестирования клиентских систем выглядят достаточно обнадеживающе:
| |||