Новые подробности об уязвимости в чипах Intel: последствия и дальнейшие действия
Новые уязвимости встроены в аппаратное обеспечение Intel и носят разные названия. ZombieLoad, Fallout или RIDL являются слишком пафосными, новое техническое название - микроархитектурная выборка данных (MDS).
Для начала вы должны знать, что для того, чтобы противостоять данным уязвимостям, необходимо обновить операционную систему, когда она попросит вас, а также убедиться, что ваш браузер обновлен - и то, и другое может быть вектором для этих новых атак. Это затрагивает только устройства, работающие на чипах Intel, поэтому устройства iOS и подавляющее большинство устройств Android находятся в безопасности. Об этом сообщает Информатор Tech, ссылаясь на The Verge.
Вот информационные страницы MDS от нескольких крупных поставщиков программного обеспечения, которые уже предоставили обновления или сделают это в ближайшем будущем:
- Apple
- Microsoft
- Amazon
На самом базовом уровне MDS использует расширенную функцию процессора, называемую «спекулятивное выполнение», как это делали Spectre и Meltdown. Если вы хотите получить детальную и понятную информацию о том, как это работает, Энди Гринберг из Wired вам поможет. Для непрофессионала важно понять, что, поскольку MDS использует другую методологию, нежели те ранние уязвимости, он требует другого уровня защиты.
В частности, на процессорах Intel есть функция, называемая «гиперпоточность», которая позволяет процессору выполнять несколько операций одновременно. Наряду с исправлениями программного обеспечения полная защита от MDS означает отключение данной функции и для некоторых пользователей это приведет к значительному снижению производительности.
Компромисс здесь - тот, который знаком всем, кто работает в области компьютерной безопасности: идеальная безопасность невозможна, вместо этого все зависит от оценки вашего риска и уровня угрозы. Решить, стоит ли снижать производительность, чтобы отключить гиперпоточность, сложно, и поэтому разные компании принимают разные решения.
Intel, как и следовало ожидать, преуменьшил снижение производительности, хотя даже ее тестирование показывает снижение до 9% для потребительских продуктов и 19% - для серверов. Решение просто применить данный вариант по всем направлениям - это не то, что хотят делать технологические компании, поэтому они все используют разные подходы.
Apple решила оставить гиперпоточность по умолчанию. Руководство компании заявляет, что «клиенты с компьютерами с повышенным риском или использующие ненадежное программное обеспечение на своем Mac» должны отключить его.
Microsoft немного нечетко говорит о гиперпоточности, но говорит, что «столкнулась с некоторым влиянием на производительность», и поэтому «в некоторых случаях по умолчанию не включены меры по снижению риска, чтобы пользователи и администраторы могли оценить влияние на производительность и подверженность риску до этого».
Apple предоставляет инструкции о том, как отключить гиперпоточность, в то время как у Microsoft гораздо более сложная аппаратная экосистема, и поэтому есть гораздо более сложное руководство о том, как это сделать.
Google сделал другой выбор с Chrome OS: по умолчанию он отключает гиперпоточность. Для подавляющего большинства задач, выполняемых пользователями на Chromebook, гиперпоточность на самом деле не применяется. Для тех, кому это нужно, есть способ включить его снова.
Действительно ли люди, которым нужно задуматься о включении или выключении гиперпоточности, готовы принять обоснованное решение об этих компромиссах в области безопасности?
Это не забавная ситуация - и она не станет лучше в ближайшее время. Причина, по которой Specter и Meltdown были такими крупными сделками, заключается в том, что они раскрыли совершенно новый метод компрометации оборудования Intel. Этот метод может применяться по разному, и MDS вряд ли будет последним.
Во всем этом есть хорошие новости: скоординированное раскрытие MDS является очень хорошим знаком того, что исследователи в области безопасности, Intel и основные игроки в техническом сообществе работают вместе, чтобы уменьшить эти риски.