Борьба с уязвимостями Meltdown и Spectre продолжается

Для специалистов по информационной безопасности новый год начался с плохих новостей: в первых числах января 2018 года весь мир узнал о глобальных уязвимостях Meltdown и Spectre, которым подвержены практически все современные и не слишком процессоры и, следовательно, устройства.

Как показала практика, сами уязвимости – это еще не самое страшное, потому как вскоре оказалось, что исправить их крайне трудно, а патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также снижают производительность.

Хотя прошло уже три недели, известия о все новых проблемах и попытках борьбы с ними продолжают поступать, а против IT-гигантов подают все больше коллективных судебных исков. Мы собрали небольшой дайджест последних событий, связанных с борьбой против Meltdown и Spectre.

Red Hat и другие отзывают патчи

Инженеры компании Red Hat сообщили, что из-за многочисленных жалоб клиентов они отзывают исправления (microcode_ctl и linux-firmware), призванные бороться с проблемой Spectre (Variant 2, CVE-2017-5715).

«Red Hat более не предоставляет микрокод, адресованный проблеме Spectre, Variant 2, в силу нестабильности, из-за которой клиентские системы перестают загружаться», — сообщила компания.

Компания рекомендовала пользователям связываться с производителями оборудования и выяснять у них, каким образом нужно патчить CVE-2017-5715 в каждом конкретном случае. Так как решение Red Hat об откате патчей скажется на пользователях Red Hat Enterprise Linux и других RHEL-дистрибутивов (CentOS, Scientific Linux), им тоже рекомендовано обращаться за устранением Variant 2 к производителям оборудования.

Напомню, что суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 — CVE-2017-5753 и Variant 2 — CVE-2017-5715). Если  Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует также обновления прошивки/BIOS/микрокода, из-за чего и возникают проблемы.

Разработчики Red Hat были не единственными, кто принял такое решение. Аналогичным образом поступили  VMware, Lenovo и другие вендоры. Инженеры Intel пообещали разобраться в проблеме и поправить микрокод.

Intel рассказала, как патчи влияют на дата-центры

Ранее мы уже писали о том, что установка «заплаток» против Meltdown и Spectre влияет на производительность. Однако тогда речь в основном шла о простых пользователях, в то время как патчи куда серьезнее влияют на работу крупных компаний и дата-центров. К примеру, компании Epic Games и Branch Metrics жаловались, что патчи для Meltdown и Spectre вызвали серьезные проблемы в их работе. Так, график ниже показывает, как после установки обновлений нагрузка на один из серверов популярного сетевого шутера Fortnite возросла с 20 до 60%.

Если ранее компания Intel уже показывала результаты бенчмарк-тестов и объясняла, как сильно патчи скажутся на домашних пользователях, теперь аналогичные прогнозы были опубликованы и для дата-центров. Как и предполагалось ранее, возможная потеря производительности сильно зависит от конфигурации конкретной системы и тех задач, которые та выполняет. Результаты проведенных тестов можно увидеть в таблице ниже.

75% компьютеров работают без патчей для Meltdown и Spectre

Хотя представители Intel уверяют, что уже подготовили исправления для 90% процессоров, выпущенных за последние пять лет, эти патчи еще должны добраться до конечных пользователей. К сожалению, по данным компании Barkly, ситуация с установкой исправлений обстоит не лучшим образом.

Согласно небольшому опросу, проведенному Barkly, в настоящее время менее 26% систем получили обновления против уязвимостей Meltdown и Spectre, и лишь 4% опрошенных сообщили, что установили патчи на все свои машины.

46% опрошенных организаций признались, что даже не знали о том, что исправления могут быть несовместимы с антивирусными решениями и перед их установкой проверяется наличие специального ключа в реестре. Еще 64% не сумели разобраться, совместим ли их антивирус с обновлениями.

Хуже того, 80% опрошенных компаний заявили, что процесс обновления пока слишком сложен, порядок установки патчей непонятен, и именно этим они объяснили отсутствие патчей в своих системах.

Новые проблемы на архитектурах Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake

Ранее компания Intel уже признала, что исправления для Meltdown и Spectre вызывают частые перезагрузки систем, работающих на базе процессоров с микроархитектурами Broadwell и Haswell. Причем проблема коснулась как рядовых пользователей, так и серверов в дата-центрах. Похожие проблемы также наблюдались с процессами компании AMD (AMD Opteron, Athlon, AMD Turion X2 Ultra), из-за чего компания Microsoft была вынуждена приостановить распространение патчей для таких машин.

Минувшая неделя принесла как хорошие, так и плохие новости. Так, разработчики Microsoft разобрались с проблемами, вызывавшими сбои в работе систем на базе AMD. Новые обновления должны устранить наблюдавшиеся ранее проблемы. Также были представлены билды Windows 10 1506.877 и 14393.2034, для Creators Update (1703) и Anniversary Update (1607), соответственно.

Для владельцев процессоров Intel новости более удручающие. Представители компании признали, что обновленный микрокод вызывает проблемы не только у систем, построенных на базе процессоров с архитектурами Broadwell и Haswell. Оказалось, что сбои после обновления могут проявляться и в системах, работающих с процессорами Xeon, Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake. В итоге установка обновлений в большинстве случаев превращается в лотерею.

Вчера, 22 января 2018 года, представители Intel фактически приостановили распространение этих исправлений, призвав пользователей и производителей дождаться нормально работающих версий микрокодов. Согласно официальному заявлению, инженеры компании уже определили, что именно вызывало сбои и частые перезагрузки на платформах Broadwell и Haswell, и сейчас ведется активная разработка и тестирование новых патчей.

Линус Торвальдс критикует Intel

В эти недели критику в адрес Intel и других производителей можно услышать практически отовсюду, и в стороне не остаются даже такие влиятельные люди, как Линус Торвальдс. 22 января 2018 года Торвальдс обрушился на разработчиков Intel с острой критикой, поводом для которой послужили многострадальные патчи, призванные устранять уязвимость Spectre, Variant 2.

Дело в том, что инженеры Intel предложили для ядра свой вариант исправления CVE-2017-5715, вместо патчей retpoline. В рассылке Linux Kernel Торвальдс не стал выбирать выражения и назвал предложенные Intel решения «полным и абсолютным мусором» (complete and utter garbage) и «мерзким хаком» (nasty hack).

«Они [патчи] делают безумные вещи. Они делают бессмысленные вещи. Из-за них все ваши аргументы выглядят подозрительно и вызывают вопросы. Эти патчи делают вещи за гранью здравого смысла. Какого х** вообще происходит?, — пишет Торвальдс. — Все это полнейший мусор. Intel правда планирует сделать это дерьмо архитектурным? Кто-нибудь пытался поговорить с ними и объяснить, что они спятили на***? Пожалуйста, если здесь есть инженеры Intel, поговорите со своими менеджерами».

Негодование Торвальдса связано с предложенными разработчиками Intel решениями: IBRS (Indirect Branch Restricted Speculation), STIBP (Single Thread Indirect Branch Predictors) и IBPB (Indirect Branch Predictor Barrier). По мнению Торвальдса, никто в здравом уме не станет использовать IBRS и режим IBRS_ALL, так как данная, в частности, крайне неэффективна и приводит к значительному падению производительности.