Как защититься от Meltdown и Spectre в Linux
Разработчики Linux очень сильно потрудились над решением проблемы и эта работа все еще продолжается. Версия ядра 4.14.2 содержит все доступные на данный момент исправления. Через несколько дней выйдет версия 4.14.13 с дополнительными исправлениями багов. Патчи исправлений также были добавлены для стабильных версий ядра 4.4 и 4.9, но эти патчи очень сильно отличаются оттого, что есть в 4.14 и 4.15 и закрывают намного меньше проблем.
Если вы используете Linux с более старым ядром, то патчей для вас нет и не будет. Грег Кроах-Хартман сказал что отсутствие исправлений Meltdown настолько незначительно по сравнению с другими проблемами в этих ядрах, что выпускать его бессмысленно. Если вы используете процессор ARM64 то патчей пока нет, но они будут доступны в ядре 4.15 через несколько недель. Для ARM исправления будут бэкпортированы в ветки 3.18, 4.4 и 4.9. Все что было написано выше — решает уязвимость Meltdown (CVE-2017-5754).
Spectre — это совсем другая история. Универсальных патчей для исправления Spectre пока нет. Это объясняется тем, что все разработчики ядра работали над решением более серьезной проблемы — Meltdown. А также у разработчиков было недостаточно информации о том, что представляет из себя эта уязвимость. Разработчикам потребуется несколько недель чтобы решить эти проблемы. Все усложняется тем, что здесь недостаточно применить одно исправление на уровне ядра, нужно вносить изменения в каждое приложение отдельно. И что-то мне подсказывать что разработчики многих продуктов просто забьют на все это.
Если вы используете Linux не на x86 или ARM, то будьте очень осторожны. Для других платформ патчей пока нет и не предвидеться. Известно что уязвимы не только чипы Intel и AMD, но и Power 8, Power 9, System z и SPARC.
Что касается дистрибутивов, то Red Hat, CentOS, Ubuntu, Debian, ArchLinux, LinuxMint, OpenSUSE и другие уже выпустили патчи для защиты от Meltdown. Вы можете уже сейчас обновить систему или хотя бы ядро и быть спокойным по поводу этой атаки.
Далее, еще можно обновить видео драйвер NVIDIA до версии 384.111. Это пока что все, что доступно для защиты.
Как уязвимость Intel повлияла на работу Mac
Разницу в производительности macOS представим в виде таблице. Значения по GeekBench 4 считаем усредненные после нескольких замеров.
Представим разницу более наглядно в виде графиков:
Вывод сделать весьма проблематично. Абстрагировавшись от абсолютных значений, видим следующую картину после апдейта (сравнивая с macOS 10.13.1, в которой была уязвимость):
— GeekBench Single-Core: +1,72%;
— GeekBench Multi-Core: +0,65%;
— BMD Disk SpeedTest (скорость чтения): -1,17%;
— BMD Disk SpeedTest (скорость записи): -9,95%;
— Cinebench Open GL: +3,56%;
— Cinebench CPU: +10,96%;
— Peacekeeper (Safari): -1,36%.
Выходит, что деградация производительности от патчей Meltdown и Spectre заметна лишь на скорости записи. При этом производительность процессора по тесту Cinebench возросла почти на 11%.
Главное, что мы не увидели каких-либо критических изменений в производительности, а значит спать можно спокойно.
iPhones.ru
Затаили дыхание.
Отключение защиты от Meltdown и Spectre
Способов отключения защиты существует несколько, однако одним из самых простых и удобных является использование утилиты InSpectre. Она бесплатна и не требует установки. Скачать можно на сайте разработчика.
Отключить защиту при помощи InSpectre просто:
• запустить программу от имени администратора;
• поочередно нажать кнопки «Disable Meltdown Protection» и «Disable Spectre Protection»;
• закрыть программу и перезагрузить компьютер.
Чтобы снова включить защиту, нужно действовать в таком же порядке – запустить InSpectre от имени администратора, нажать кнопки «Enable Meltdown Protection» и «Enable Spectre Protection», закрыть программу, перезапустить компьютер.
Кому следует опасаться Meltdown/Spectre
Если говорить грубо, то эта проблема касается практически всех пользователей. Многие процессоры крупнейших производителей, таких как Intel, AMD и ARM, затронуты Meltdown и Spectre. Более того, у экспертов на руках уже есть готовые эксплойты для некоторых моделей процессоров Intel и AMD.
В настоящее время специалисты выделяют три проблемы:
- Обход проверки границ (bounds check bypass, CVE-2017-5753).
- Инъекция целевой линии (branch target injection, CVE-2017-5715).
- Загрузка злонамеренных кешированных данных (rogue data cache load, CVE-2017-5754).
Исследователи Google Project Zero испытали действие этих уязвимостей на следующие процессоры:
- Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz
- AMD FX(tm)-8320 Eight-Core Processor
- AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G
- An ARM Cortex A57 (используется в телефоне Google Nexus 5x)
Результаты этих тестов подтвердили наличие серьезной проблемы, способной позволить злоумышленнику прочитать системную память, которая должна быть недоступна. Например, неавторизованная сторона может считать конфиденциальную информацию в памяти системы, такую как пароли, ключи шифрования, либо любую другую важную информацию, открытую в приложениях.
Тестирование также показало, как уже обозначалось выше, что атака, осуществляемая на виртуальную машину, позволяет получить доступ к физической памяти хост-машины, и, как следствие, доступ к памяти другой виртуальной машины на том же хосте.
Действительно ли пропатченные системы будут работать на 5–30% медленнее
Последние несколько дней многие СМИ пугали пользователей информацией о том, что исправления уязвимостей Meltdown и Spectre могут привести к потере производительности до 30% в системах, работающих под управлением процессоров от Intel. Но так ли это на самом деле?
Согласно исследованию, разница оказалась невелика: на 2% медленнее в однопотоке, на 3% быстрее в многопотоке. Эксперт опубликовал результаты Geekbench релизной версии Windows и пропатченной.
Вывод можно сделать следующий — если у вас нет масштабных серверов с виртуальными машинами, нейросетями и программами, беспокоиться не о чем.
Отключаем патчи Meltdown и Spectre в Windows 10, восстанавливаем производительность
Как отключить фиксы Microsoft от Spectre и Meltdown в Windows 10 и вернуть производительность на свой страх и риск
Компания Microsoft изрядно постаралась вовремя устранить «дыры» в своей операционной системе. Первыми исправлениями была залатана Windows 10,которая наименее подвержена уязвимостям. Потом патчи получили ОС Windows 7. Увы, фиксы изрядно притормозили компьютеры. Особенно это касается файловой производительности. И еще в большей степени падение заметили владельцы систем с традиционными жесткими дисками на магнитных носителях. Однако если внимательно изучить все технические ноты Microsoft, то обнаруживается забавная запись, поясняющая как отключить воздействие исправление на ОС.
Патчи против Meltdown и Spectre делятся на три категории. Первая — это исправления в BIOS для материнских плат. Вторые — это заплатки для операционной системы. И, наконец, последние — это исправления производителей процессоров, разработанные инженерами и поставляемые в виде программных фиксов. Все три ступени воздействуют на ПК не лучшим образом. С одной стороны они закрывают любые возможности проникновения, но с другой, раз за разом снижая производительность ПК. Как показывает практика, самым разрушительным воздействием обладают патчи Mocrosoft.
Как защититься от Meltdown и Spectre
Самый простой способ избежать потенциальных проблем с уязвимостями Meltdown и Spectre — следовать следующей инструкции по обеспечению безопасности своего компьютера или мобильного девайса:
- Избегайте программного обеспечения неизвестного происхождения и не скачивайте программы из непроверенных источников.
- Пользуйтесь обновленным веб-браузером, который содержит патч для указанных брешей в безопасности.
- Устанавливайте соответствующие обновления безопасности и/или системные обновления, когда они становятся доступными для вашего девайса или компьютера.
К слову, это неплохие советы для каждого, кто беспокоится о безопасности своего Mac или iOS-девайса. Так что рекомендуем продолжать следовать им даже после того, как угроза Meltdown и Spectre будет устранена. Поэтому пройдемся по каждому из пунктов немного подробнее.
1. Избегайте подозрительных сайтов и загрузок
Никогда не скачивайте приложения или что угодно еще с подозрительно выглядящих сайтов. В целом отказ от загрузки потенциально опасного ПО сможет защитить вас не только от Meltdown и Spectre, но и от любого вредоносного ПО и просто мусора.
Не соглашайтесь на загрузку файлов, которые вы не запрашивали
Никогда не устанавливайте приложения, скачанное по ошибке, и всегда обращайте внимание на описание в установщике: та ли программа в нем указана? Всегда скачивайте и покупайте программное обеспечение только из проверенных источников — с сайта непосредственно разработчиков, проверенных продавцов ПО (к таким относятся, к примеру, Steam и Humble Bundle) или из App Store
2. Обновите свои браузеры
Другой потенциальный источник атаки — веб-браузер. К счастью, наиболее популярные браузеры уже либо обновлены (или будут обновлены в ближайшее время) для предотвращения потенциальных проблем с безопасностью:
- Firefox версии 57 и выше — уже обновлен
- Chrome 64 и выше — соответствующий патч будет включен в обновление от 24 января
- Safari — в ближайшее время будет обновлен для Mac, iPhone и iPad
Что же касается пользователей Windows, то Microsoft Winfows 10 и браузер Edge уже получили необходимый патч, обновления для других версий также запланированы. Последние версии Android также получили обновление от Google.
Если вы беспокоитесь, что ваш браузер еще не получил патч безопасности, вы можете временно перейти на безопасный браузер, пока разработчики не позаботятся о вашем основном браузере. К примеру, вы можете скачать Firefox 57 или новее на несколько дней, пока Safari или Chrome не обновятся.
3. Устанавливайте обновления безопасности и/или системы, когда они становятся доступны
Необходимо удостовериться в том, что ваше устройство получает необходимые обновления безопасности. Также этого можно добиться, обновив операционную систему до актуальной версии. Apple сообщает, что уже приняла первые меры по избавлению от Meltdown и Spectre в следующих версиях:
- iOS 11.2 и новее на iPhone, iPad, iPod Touch
- macOS 10.13.2 High Sierra и новее на Mac
- tvOS 11.2 и новее на Apple TV
Пока неясно, будет ли Apple выпускать отдельные патчи безопасности для более старых версий macOS, но в прошлом Apple зачастую это делала. Сейчас же остается лишь надеяться, что и macOS Sierra 10.12.6 и Mac OS X El Capitan 10.11.6 будут защищены от Meltdown и Spectre в ближайших обновлениях, учитывая, что не все пользователи Mac могут (или хотят) обновляться до High Sierra по тем или иным причинам.
Наконец, отметим, что Apple Watch и watchOS эта проблема не коснулась.
Отключите защиту в реестре Windows, если хотите
Windows позволяет отключить защиту от Meltdown и Spectre после установки патча, что делает Вашу систему уязвимой для этих опасных атак, но устраняет ограничение производительности, которое исходит от исправления.
ПРЕДУПРЕЖДЕНИЕ: Мы настоятельно рекомендуем не делать этого. Особенно, если Вы используете Windows 10 на современном оборудовании, Вы не должны замечать замедление. Даже если Вы используете Windows 10 с более старым процессором, замедление должно быть минимальным для большинства людей. И, если Вы чувствуете, что Ваша система Windows 7 или 8 заметно медленнее, самое лучшее, что Вы можете сделать, это перейти на Windows 10. Meltdown и Spectre — очень серьезные недостатки безопасности, которые потенциально могут быть использованы кодом, запущенным на веб-странице в Вашем веб-браузер. Вы не должны использовать уязвимую систему.
Тем не менее, Microsoft сделала эти настройки реестра доступными по какой-то причине. По их словам, замедление может быть плохо совместимо с приложениями ввода-вывода (IO) в системе Windows Server. В системах Windows Server Microsoft говорит: «Вы должны быть осторожным, чтобы оценить риск ненадежного кода для каждого экземпляра Windows Server и сбалансировать соотношение «безопасность и производительность» для Вашей среды». Другими словами, Вы можете отключить патч на некоторых серверных системах, если Вы уверены, что они не будут запускать ненадежный код. Имейте в виду, что даже код JavaScript, запущенный в веб-браузере или в коде, запущенном внутри виртуальной машины, может использовать эти ошибки. Обычные песочницы, которые ограничивают выполнение этого кода, не полностью защитят Ваш компьютер.
Вы можете отключить защиту Meltdown или Spectre с помощью инструмента InSpectre, о котором мы упоминали выше. Чтобы отключить защиту от Meltdown или Spectre, щелкните правой кнопкой мыши файл InSpectre.exe и выберите «Запуск от имени администратора». Затем Вы можете нажать на кнопки «Disable Meltdown Protection» и «Disable Spectre Protection» для включения или выключения защиты. Перезагрузите компьютер после внесения изменений. Если Вы повторно запустите инструмент InSpectre и прокрутите текст в поле, Вы увидите сообщение о том, что защита была отключена в реестре. Вы можете использовать те же кнопки для повторного включения защиты в будущем, если Вы передумаете.
Вы также можете отключить защиту в реестре самостоятельно, если хотите. Запустите команды в разделе «Чтобы отключить данное исправление» на этой странице поддержки Microsoft. Хотя инструкции для Windows Server, они также отключат исправление в других версиях Windows. Перезагрузите компьютер после изменения параметров реестра. Вы можете проверить, что исправление включено, запустив скрипт Get-SpeculationControlSettings PowerShell. Если Вы передумаете и захотите снова включить защиту в будущем, запустите инструкции в разделе «Чтобы включить исправление» на веб-странице Microsoft.
Как проверить уязвимость системы
Дальше поговорим о том как проверить на уязвимость spectre и meltdown. Вы можете посмотреть защищена ли ваша система от Meltdown, проверив включена ли изоляция на уровне ядра. Для этого можно использовать несколько команд:
Если команда выдает unpatched — значит вы все еще уязвимы. Другая команда для той же цели — посмотреть конфигурационный файл запущенного ядра:
Или посмотреть в лог dmesg:
Опять же, если такой строчки нет — значит изоляция отключена и вы в опасности. Также существует скрипт, который можно использовать для проверки как Spectre, так и Meltdown. Для его загрузки вам понадобится git:
Как в Windows 10 отключить патч Meltdown и Spectre
После установки обновления безопасности для устранения уязвимостей Meltdown и Spectre производительность устройств существенно снизилась, по данным компании Intel от 2% до 25%. Мы решили поделиться решением, как отключить патч Meltdown и Spectre дабы вернуть былую производительность компьютеру.
Прежде чем приступить к выполнению работ по отключению обновления безопасности Meltdown и Spectre, настоятельно рекомендуем создать резервные копии данных, кроме того все ниже описанные операции вы проводите на свой страх и риск, также не рекомендуем отключать данный патч если вы не заметили снижения производительности вашего устройства.
Если у вас возникнут сомнения в целесообразности отключения патча в данном руководстве также представлено, как включить патч для устранения уязвимостей Meltdown и Spectre.
Для того, чтобы отключить патч Meltdown и Spectre в Windows 10 необходимо запустить Командную строку либо Windows PowerShell от имени администратора. Для запуска Командной строки или Windows PowerShell введите в поле поиска Windows поисковой запрос «Командная строка» или «Windows PowerShell» (см. Скрин. 1).
Скриншот 1.
Поочередно скопируйте нижеприведенные команды и вставьте в окно Командной строки или Windows PowerShell (*прим.; после ввода каждой команды нажать Enter) (см. Скрин. 2):
reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Скриншот 2.
Об успешном выполнении команды вы будете проинформированы, что «Операция успешно завершена». После ввода команд и их успешном выполнении перезагрузите компьютер.
Проверить отключен ли патч Meltdown и Spectre можно с помощью утилиты InSpectre, которая предоставляет информацию о защите компьютера от уязвимостей Meltdown и Spectre.
В нашем случае если патч отключен, то в окне программы будет следующая информация (см. Скрин. 3); System is Meltdown protected: NO!, System is Spectre protected: NO!
Скриншот 3.
Для включения патча для устранения уязвимостей Meltdown и Spectre в окно Командной строки или Windows PowerShell поочередно вставьте следующие команды (*прим.; после ввода каждой команды нажать Enter):
reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
После ввода команд и их успешного выполнении перезагрузите компьютер.
Чего мы боялись
Программисты, которые понимают как устроена операционная система и имеют представление о низкоуровневой работе macOS, Windows и Linux, понимали, что беспокойство вокруг уязвимостей Meltdown и Spectre небезпочвенно.
Учитывая, что после выхода соответствующих патчей процессор полностью запрещает любому софту получать доступ к выставлению приоритетов процессов, это могло напрямую повлиять на производительность всех компьютеров, которые выпускались за последние 10 лет. Более подробно об ошибке Intel мы рассказывали в отдельном материале.
Другими словам, мы просто привыкли к тому, что наши ноутбуки и ПК работают быстрее, чем должны на самом деле. Увы, производители чипов не позволяют пользователю выбирать: безопаснее, но медленнее или с уязвимостями, но производительнее. Все решили за нас.
Уязвимость Meltdown Apple уже залатала в предыдущем апдейте macOS 10.13.2.
Теперь очередь дошла до Spectre. И именно этого обновления боялись владельцы ноутбуков и компьютеров.
На прошлой неделе мы уже сравнивали производительность MacBook до и после обновления на патч Meltdown. Теперь же мы провели повторное тестирование систем, чтобы выяснить, упала ли производительность MacBook после устранения уязвимости Spectre.
Как проверить уязвимости Meltdown и Spectre Windows 7, 8.1, 10
Для того чтобы проверить Ваш ПК на уязвимость к данным типам атаки воспользуйтесь небольшой утилитой Ashampoo spectre meltdown cpu checker. Загрузите утилиту с официального сайта
Для проверки системы нажмите кнопку Start security check.
После выполнения проверки приложение сообщит о том, к какому типу атаки Вы имеете уязвимость. В нашем случае проверка выявила, что компьютер уязвим для Spectre, но защищен от Meltdown.
Также Microsoft выпустила небольшой скрипт для проверки Вашего устройства на наличие уязвимостей. Для начала, пройдите на страницу сайта и загрузите архив.
Распакуйте данный архив в отдельную папку (например, C:\ADV180002), а затем выполните следующий скрипт в окне PowerShell от имени администратора:
$SaveExecutionPolicy = Get-ExecutionPolicy # Set-ExecutionPolicy RemoteSigned -Scope Currentuser Import-Module .\SpeculationControl.psd1 Get-SpeculationControlSettings Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Для подтверждения выполнения сценариев введите Y или A и подтвердите нажатием клавиши Enter. Отобразится информация по наличию угроз, чем больше зеленых строчек со значением True, тем лучше защищен Вам компьютер.
Как в случае с программой, так и со скриптом, отображается информация, что наше устройство подвергнуто угрозам.
InSpectre или как отключить защиту от Meltdown и Spectre
InSpectre
Уязвимости Meltdown и Spectre: что это ?
Из исследований Янна Хорна (Jann Horn) мир узнал о Meltdown и Spectre, которые могут использоваться для кражи логинов и паролей, переписки в мессенджерах, личных фото и документов. Уязвимостям подвержены не только процессоры (чипсеты) Intel, AMD, ARM и популярные ОС, но и провайдеры облачных услуг и разрабатываемое ПО. В категорию «ущербных» попали все процессоры, выпущенные с 1995-го по 2013-ый год, кроме Intel Itanium и Atom.
Ошибки безопасности обнаружены в алгоритмах под названием «внеочередное и спекулятивное исполнения». Это опережающая подготовка процессором вычислительных результатов с целью задействовать их в будущем. Если активному приложению такие данные не нужны, они удаляются.
Итак, уязвимость Meltdown связана с особенностями внеочередного исполнения. Благодаря ему злоумышленник получает доступ к изолированной части процессорной памяти и извлекает из кэша шифрованную информацию и пароли. В свою очередь, Spectre затрагивает алгоритм спекулятивного исполнения и заставляет ЦП прогнозировать и исполнять «левые» команды, делая кэш доступным для чтения. Причем атаки Meltdown и Spectre могут использоваться одновременно, а обнаружить кражу данных практически невозможно.
После получения отчетов Хорна большинство разработчиков ОС и производителей процессоров выпустили патчи, «латающие дыры» в защите. Однако жалобы пользователей на зависания и спад производительности компьютеров приостановили массовый апдейтинг. Более того, Microsoft выложил «заплатку» KB4078130 для Windows 7 / 8.1 / 10, отключающую проблемный патч Intel, который поставлялся с одним из обновлений «операционки». По свидетельству TechCrunch.com, уменьшение производительности десктопов (ноутбуков) колеблется в пределах 5-30%, и больше всего повезло владельцам последних моделей процессоров.
Как пользоваться утилитой InSpectre
Портативная софтина создана американцем Стивом Гибсоном (Steve Gibson), дабы прояснить текущую ситуацию в системе. Она показывает информацию о защите от Meltdown и Spectre и, в случае необходимости, отключает ее через реестр Windows. Заинтересованные могут протестировать производительность ПК «до» и «после» силами AIDA64.
Important!
Гендиректор Intel Брайан Кржанич (Brian Krzanich) пообещал выпустить чипы с защитой от Spectre и Meltdown до конца текущего года.
Дмитрий dmitry_spb Евдокимов
Защита от Meltdown и Spectre: влияние на быстродействие компьютера, как отключить
В 2018 году стало известно о подверженности большинства современных процессоров уязвимостям Meltdown и Spectre, использующим для атак так называемое спекулятивное выполнение команд. Примечательно, что спекулятивное выполнение – это не какой-то инструмент взлома или хакерский прием, а механизм, который сами же производители активно внедряли в процессоры в целях повышения их быстродействия. Как выяснилось, используя его «побочные эффекты», злоумышленники могли получать несанкционированный доступ к обрабатываемой на компьютере информации.
В целях устранения проблемы были выпущены специальные программные «заплатки» и обязательные обновления для операционных систем, установка которых заметно снижала быстродействие компьютеров (в некоторых случаях до 30 %). При этом, степень падения производительности варьировалась в зависимости от архитектуры процессора и версии Windows. В группу наиболее «пострадавших» попали старые процессоры Intel до микроархитектуры Haswell включительно.
Однако, в 2019 году вышли обновления Windows 10, которые, по заявлению компании Microsoft, проблему с быстродействием устранили. Имея в своем распоряжении ноутбук на базе процессора Core i5-4300U (Haswell), мы решили проверить, так ли это (провести замеры с включенной / отключенной защитой и поделиться результатами с читателями).
Система (Fujitsu Lifebook S904):
• Процессор: Intel Core i5-4300U (2 ядра / 4 потока, 1,9 – 2,9 ГГц);
• Видеокарта: встроенная Intel HD Graphics 4400 (разрешение экрана 1920×1080);
• Оперативная память: 2 x 4 GB DDR3-1600;
• Запоминающее устройство: SATA3 SSD Samsung 860 EVO 500 GB.
• Операционная система: Windows 10 Pro 64bit версия 1909 со всеми обновлениями, доступными по состоянию на начало марта 2020 года.
Обновите свое оборудование
Современные ПК, то есть «компьютеры с 2016 года с Skylake, Kabylake или с более новыми процессорами», лучше работают с патчем, чем старые ПК. Фактически, Microsoft говорит, что «тесты показывают однозначное замедление, но мы не ожидаем, что большинство пользователей заметят изменения, потому что эти проценты отражаются в миллисекундах». Это потому, что у этих процессоров Intel есть идентификатор PCID (Process-Context Identifiers) которые помогают патчу работать лучше. Без этой функции больше работы должно выполняться в программном обеспечении, и это замедляет работу.
Если Вам интересно, имеет ли Ваша система функцию ускорения патча, мы рекомендуем загрузить и запустить инструмент InSpectre от Gibson Research Corporation. Он также расскажет Вам, защищен ли Ваш компьютер от Meltdown и Spectre или нет.
Если Вы видите «Performance: GOOD», у Вас есть современный ПК с соответствующими аппаратными функциями, и Вы не должны видеть заметного замедления. Если Вы этого не видите, у Вас более старый компьютер, и Вы можете увидеть некоторое отставание. (Хотя помните, что Вы можете значительно ускорить работу, обновившись до Windows 10, если Вы этого еще не сделали.)
Если Ваш компьютер не имеет подходящих аппаратных средств, и Вы чувствуете, что он работает медленно, единственный способ оставаться в безопасности и ускорить работу — это перейти на более новое оборудование. Современные процессоры видят гораздо меньший спад.
Как защититься от Meltdown/Spectre
В настоящее время разработчики готовят или уже выпустили патчи для всех распространенных браузеров и операционных систем. Следовательно, все, что нужно сделать конечному пользователю — установить выпущенные исправления либо дождаться их выхода. Если вы не уверены в том, что ваша система защищена, рекомендуется отключить JavaScript даже при посещении безопасных сайтов, так как они могут быть взломаны.
Однако, как утверждают некоторые специалисты, полностью защититься от этой проблемы только программным образом нельзя, они считают единственным способом решить проблему смену процессора.
В качестве примеров выпущенных апдейтов, исправляющих проблему уязвимостей, можно привести выпущенные обновления для Android, а также экстренный патч для Windows 10.
В ядре Linux проблему Meltdown решили с выпуском набора патчей KPTI, однако отмечено, что к процессорам AMD они применяться не будут.
Разработчики браузеров также не отстают — Mozilla предоставила временное решение вопроса в версии браузера Firеfox 57. По словам компании, оно призвано затруднить проведение атаки с использованием Meltdown и Spectre.
С чего все началось?
Нет, история началась не четвертого января. Еще в 2008 году на securitylab появилась новость о том, что российский специалист по информационной безопасности Крис Касперски обнаружил критическую уязввимость в процессорах Intel, которая позволяет взломать систему удаленно с помощью скрипта на JavaScript или просто через TCP/IP независимо от операционной системы. Исследователь собирался представить работающий код для Windows и Linux и сделать его общедоступным. Но затем все стихло на целых десять лет. Таким образом, можно предположить, что обнаружены уязвимости spectre и meltdown были еще в 2008 году.
Второй раз уязвимость была обнаружена несколькими независимыми группами исследователей, а именно Google Project Zero, Cyberus Technology, и Грацского технического университета летом 2017 года. Все это время данные оставались засекреченными, чтобы разработчики успели придумать и выпустить патчи для защиты от этих уязвимостей. Все это время разработчики Windows и Linux работали вместе над исправлением этих проблем. Публикация данных об уязвимости Meltdown была запланирована на 9 января 2018, но данные утекли в сеть чуть раньше — 4 января. Журналисты из The Register каким-то образом узнали об уязвимости из рассылки разработчиков ядра Linux об исправлении KAISER, которое добавляет изоляцию адресации процессов.
Как решить замедление ПК после патчей от Meltdown и Spectre
П атчи Windows для Meltdown и Spectre замедлят Ваш компьютер. На новом ПК под управлением Windows 10 Вы, вероятно, не заметите этого. Но на ПК с более старым процессором, особенно если он работает под управлением Windows 7 или 8, Вы можете заметить заметное замедление. Вот как убедиться, что Ваш компьютер работает быстро после его защиты.
Независимо от того, что Вы делаете, не избегайте установки патчей. Атаки Meltdown и Spectre плохие, очень плохие. Windows, MacOS, Linux, Android, iOS и Chrome OS все выпустили патчи, чтобы исправить проблему. Intel также пообещала, что они будут работать с компаниями-разработчиками программного обеспечения для снижения влияния производительности с течением времени. Но это большие дыры в безопасности, которые Вы должны исправлять.
Это не значит, что Вам приходится иметь дело с замедлением.
6 Владельцем процессоров AMD лучше подождать
Временно Microsoft перестала подписывать исправление KB4056892 для операционных систем Windows, потому что пользователи массово жаловались на работу компьютера. По заявлению Microsoft после установки обновления у части пользователей система переставала загружаться или циклически перезагружалась с ошибкой. На днях Microsoft подтвердила наличие данной проблемы и приостановила выдачу обновлений для компьютеров с такими процессорами. Сообщается, что Microsoft совместно с AMD уже работают над решением проблемы. Точные сроки возобновления распространения обновлений неизвестны.
Уязвимости Meltdown и Spectre
Давайте попытаемся разобраться в чем же состоит суть уязвимости Meltdown и Spectre и чего нам стоит бояться. Действительно ли все так страшно, как везде пишут. Сначала нужно понять как работают процессоры. Процессору часто нужно извлекать значения из оперативной памяти или ожидать ввода от пользователя, а это занимает время. Во всех современных процессорах есть блок прогнозирования, который пытается определить какая инструкция будет выполнена дальше. И процессор выполняет эту инструкцию, сохраняя данные в кэше. Давайте рассмотрим небольшой пример. У нас есть переменная с именем «данные», и мы пытаемся прочитать в переменную «данные» какую-либо информацию, к которой у нас нет доступа, например, из ядра системы. Для повышения производительности виртуальная память ядра находится в том же адресном пространстве, что и память процесса:
Естественно, что мы получаем ошибку. А теперь пробуем использовать предсказательное выполнение инструкций. Нам понадобится еще одна переменная, например «размер архива», она будет храниться в оперативной памяти и процессору нужно будет тратить много времени, на то, чтобы ее прочитать. Рассмотрим такой код:
Процессору каждый раз приходиться извлекать переменную «размер архива» из памяти, это долго. Поэтому когда мы повторим выполнение этого кода очень много раз, то блок предсказаний будет думать, что и в следующий раз сравнение вернет положительный результат. И уже наперед станет выполнять нашу команду. И тут кроется еще одна проблема. Обычно, процессор сразу проверяет, имеет ли программа право читать данные, от туда, откуда она пытается это делать. Но это долго, поэтому для выполняемых наперед операций эта проверка не успевает выполниться и команда выполняется в любом случае. Результат выполнения команды успешно сохраняется в кэше, а процессор помнит адрес. Далее, приходит значение переменной «размер архива» из памяти и приходит результат проверки полномочий может ли программа читать данные из того адреса. Если да, то все хорошо и данные используются, если же нет, то процессор возвращает ошибку и просто забывает адрес.
Но проблема в том, что в кэше данные все равно остаются. И программе остается только извлечь их оттуда. Что она имеет полное право сделать не вызвав никаких ошибок доступа, останется только узнать по какому адресу расположены данные. А это можно сделать просто замерив время доступа к адресам. Это все может быть реализовано даже на JavaScript, что делает проблему очень глобальной.
Таким образом, чтобы закрыть уязвимость можно просто разделить виртуальное адресное пространство процесса и ядра системы. Но это очень сильно замедляет работу системы, так как на использование системных вызовов уходит намного больше времени. Что мы и видим в системах, в которых уже установлены патчи.
