Zero
Spectre e Fusione sono i principali difetti di progettazione nelle moderne Cpu. Mentre sono presenti in quasi tutti i processori recenti, perché i chip Intel sono così ampiamente usato, Intel sta prendendo la maggior parte del calore per questi bug. In nessun luogo la critica è stato più caldo di Linux Kernel Mailing List (LKML). Questo perché a differenza di Apple e Microsoft, gli sviluppatori del sistema operativo e gli OEM come Dell e HP, i programmatori Linux fanno il loro lavoro all’aperto. Ma, quando Linux e Intel sviluppatori non stanno sostenendo, stanno facendo progressi.
Non è cominciato bene. Come creatore di Linux, Linus Torvalds ha detto sulla LKML quando la notizia dei problemi rotto, “penso che qualcuno all’interno di Intel deve davvero prendere un lungo, difficile guardare la loro Cpu, e in realtà ammettono di non avere problemi.” Più tardi, Greg Kroah-Hartman, manutentore di Linux ramo stabile, ha scritto che questo è “un esempio da manuale di come non interagire con la comunità kernel Linux correttamente”.
Quindi, le cose precipitarono di nuovo quando, infastidito dal nuovo processore Intel suggerito patch, Torvalds ringhiò, “È Intel veramente progettando di fare questa merda di architettura? Nessuno parlò loro e disse loro che sono f*cking pazzo?”
David Woodhouse, un processore Intel Linux kernel ingegnere, rispose:
Se l’alternativa era un due anni di richiamo del prodotto e dare a tutti il libero Cpu, io non sono sicuro che fosse del tutto folle.
Certamente è una brutta hack, ma hey, il mondo era in fiamme e alla fine non abbiamo fatto per girare solo il datacenter off e tornare a caprini, quindi non è per niente male.
Come un hack per la Cpu, è tollerabile-come è possibile morire del tutto, per la prossima generazione.
Nel frattempo, Intel tenta di risolvere questi problemi, appena sopra il chip hardware e al di sotto del sistema operativo con microcode è venuto a nulla. Primo, Intel consiglia le persone smettere di usare la sua attuale aggiornamenti del firmware. Da allora, Dell e HP tirato Intel buggy Crollo e Spettro del microcodice correzioni.
Torvalds non è stato colpito, concedendo, “Intel sembra davvero pensare di fare la cosa giusta per il crollo (la questione principale è _when_). Che non è una grande sorpresa, dal momento che dovrebbe essere facile da risolvere, ed è davvero clacson grande buco per auto. Non fare la cosa giusta per il crollo sarebbe del tutto inaccettabile.” Ma, ha continuato, “Intel _non_ è in programma di fare la cosa giusta per la indiretti filiale di speculazione. Onestamente, questo è assolutamente inaccettabile.”
E, inoltre, “Come è, le patch sono COMPLETA E ASSOLUTA SPAZZATURA”. Si può sempre contare su di Torvalds per chiamare loro il modo in cui lui li vede.
Ma, Woodhouse ha risposto che, mentre è un “brutto hack, a breve termine, ho potuto vivere con [it].”
In un successivo messaggio, Woodhouse continuato: “penso che abbiamo coperto la parte tecnica di questo, adesso, non è che si voglia-non è che noi *come*.” Quindi ha spiegato la logica dietro questi “spazzatura” patch.
Questo è tutto su di Spettro variante 2 [CVE-2017-5715], in cui la CPU può essere ingannato in mispredicting la destinazione di una quota di ramo. E specificamente sto guardando cosa possiamo fare nel ** l’hardware, dove siamo limitati a l’hack si può gestire per aggiungere il microcodice.
Il nuovo microcodice da Intel e AMD aggiunge tre nuove funzionalità.
Una nuova funzione (IBPB è un ostacolo per il branch prediction. Dopo incasinando questo, nessun ramo obiettivi appreso in precedenza stanno per essere utilizzati. È un pò costoso (ordine di grandezza ~4000 cicli).
Il secondo (STIBP) protegge un hyperthread, fratelli seguenti ramo previsioni che sono state apprese su un altro fratello. Si *potrebbe* questo quando si esegue processi indipendenti in userspace, per esempio. O VM diversi ospiti in esecuzione su HT fratelli.
La terza caratteristica (IBRS) è più complicato. È progettato per essere impostato quando si entra in un più privilegiata la modalità di esecuzione (cioè il kernel). Impedisce ramo obiettivi imparato in meno privilegiata la modalità di esecuzione, PRIMA ERA PIÙ RECENTEMENTE, dalla loro entrata in vigore. Ma non è solo un “set-and-forget” caratteristica, ma ha anche barriera-come semantica e deve essere impostato su *ogni* ingresso nel kernel (da userspace o una VM guest). E ‘ *anche* costoso. E un vile trucco, ma per un po ‘ era l’unica opzione che abbiamo avuto.
Oltre ad essere davvero confusa, il difetto con tutte queste patch è drasticamente rallentare i processi. Google Retpoline patch è una “massiccia prestazioni vincere”, Woodhouse ammette. Retpoline funziona bloccando tutti i processori indiretta ramo previsioni, che è dove Spettro vita.
Ma, Woodhouse ha continuato, “Non tutti hanno un retpoline compilatore di sicurezza” e la Intel Skylake, e che generazione di CPU core”, che vorrebbe essere ancora vulnerabili. “IBRS soluzione, brutto anche se è fatta indirizzo”. Come è, utilizzando solo Retpoline “si apre un *po’ * bit di un buco di sicurezza”.
Continua il lavoro di un modo per evitare la “spazzatura” patch, pur mantenendo Intel Skylake — Intel, la sesta generazione della famiglia di processori — cassetta di sicurezza. Ingo Molnar, Red Hat Linux kernel developer, ha suggerito un metodo, che sembra tenere Skylake sicuro da Spettro.
Qualcosa deve essere fatto. Questi fori permettono agli hacker di aggirare le protezioni del sistema su quasi tutti i Pc, server e smartphone. Finora, bussare sul silicio, nessuno è riuscito a sfruttarle. Ma è solo una questione di tempo. Nel frattempo, le correzioni per data tutte rallentare sistemi.
Linux discussioni e Intel microcodice telegiornale, siamo ancora una lunga, lunga strada da una correzione completa.
Infine, proprio perché sappiamo che cosa sta succedendo con Linux, non significa che macOS e Windows non sono di fronte l’esatto stessi problemi. Essi sono. Non siamo solo di sentir parlare di loro.
Storie Correlate:
Un fantasma e un Tracollo: Linux creatore Linus Torvalds critica di Intel “spazzatura” patch Linux vs Crollo e Spectre battaglia continua Come Linux che fare con il Crollo e Spectre Linux Maggiore riprogettazione nelle opere di affrontare con Intel falla di sicurezza
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0