Для специалистов по информационной безопасности новый год начался с плохих новостей: в первых числах января 2018 года весь мир узнал о глобальных уязвимостях Meltdown и Spectre, которым подвержены практически все современные и не слишком процессоры и, следовательно, устройства.

Как показала практика, сами уязвимости – это еще не самое страшное, потому как вскоре оказалось, что исправить их крайне трудно, а патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также снижают производительность.

Хотя прошло уже три недели, известия о все новых проблемах и попытках борьбы с ними продолжают поступать, а против IT-гигантов подают все больше коллективных судебных исков. Мы собрали небольшой дайджест последних событий, связанных с борьбой против Meltdown и Spectre.

Red Hat и другие отзывают патчи

Инженеры компании Red Hat сообщили, что из-за многочисленных жалоб клиентов они отзывают исправления (microcode_ctl и linux-firmware), призванные бороться с проблемой Spectre (Variant 2, CVE-2017-5715).

«Red Hat более не предоставляет микрокод, адресованный проблеме Spectre, Variant 2, в силу нестабильности, из-за которой клиентские системы перестают загружаться», — сообщила компания.

Компания рекомендовала пользователям связываться с производителями оборудования и выяснять у них, каким образом нужно патчить CVE-2017-5715 в каждом конкретном случае. Так как решение Red Hat об откате патчей скажется на пользователях Red Hat Enterprise Linux и других RHEL-дистрибутивов (CentOS, Scientific Linux), им тоже рекомендовано обращаться за устранением Variant 2 к производителям оборудования.

Напомню, что суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 — CVE-2017-5753 и Variant 2 — CVE-2017-5715). Если  Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует также обновления прошивки/BIOS/микрокода, из-за чего и возникают проблемы.

Разработчики Red Hat были не единственными, кто принял такое решение. Аналогичным образом поступили  VMwareLenovo и другие вендоры. Инженеры Intel пообещали разобраться в проблеме и поправить микрокод.

Intel рассказала, как патчи влияют на дата-центры

Ранее мы уже писали о том, что установка «заплаток» против Meltdown и Spectre влияет на производительность. Однако тогда речь в основном шла о простых пользователях, в то время как патчи куда серьезнее влияют на работу крупных компаний и дата-центров. К примеру, компании Epic Games и Branch Metrics жаловались, что патчи для Meltdown и Spectre вызвали серьезные проблемы в их работе. Так, график ниже показывает, как после установки обновлений нагрузка на один из серверов популярного сетевого шутера Fortnite возросла с 20 до 60%.

Если ранее компания Intel уже показывала результаты бенчмарк-тестов и объясняла, как сильно патчи скажутся на домашних пользователях, теперь аналогичные прогнозы были опубликованы и для дата-центров. Как и предполагалось ранее, возможная потеря производительности сильно зависит от конфигурации конкретной системы и тех задач, которые та выполняет. Результаты проведенных тестов можно увидеть в таблице ниже.

75% компьютеров работают без патчей для Meltdown и Spectre

Хотя представители Intel уверяют, что уже подготовили исправления для 90% процессоров, выпущенных за последние пять лет, эти патчи еще должны добраться до конечных пользователей. К сожалению, по данным компании Barkly, ситуация с установкой исправлений обстоит не лучшим образом.

Согласно небольшому опросу, проведенному Barkly, в настоящее время менее 26% систем получили обновления против уязвимостей Meltdown и Spectre, и лишь 4% опрошенных сообщили, что установили патчи на все свои машины.

46% опрошенных организаций признались, что даже не знали о том, что исправления могут быть несовместимы с антивирусными решениями и перед их установкой проверяется наличие специального ключа в реестре. Еще 64% не сумели разобраться, совместим ли их антивирус с обновлениями.

Хуже того, 80% опрошенных компаний заявили, что процесс обновления пока слишком сложен, порядок установки патчей непонятен, и именно этим они объяснили отсутствие патчей в своих системах.

Новые проблемы на архитектурах Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake

Ранее компания Intel уже признала, что исправления для Meltdown и Spectre вызывают частые перезагрузки систем, работающих на базе процессоров с микроархитектурами Broadwell и Haswell. Причем проблема коснулась как рядовых пользователей, так и серверов в дата-центрах. Похожие проблемы также наблюдались с процессами компании AMD (AMD Opteron, Athlon, AMD Turion X2 Ultra), из-за чего компания Microsoft была вынуждена приостановить распространение патчей для таких машин.

Минувшая неделя принесла как хорошие, так и плохие новости. Так, разработчики Microsoft разобрались с проблемами, вызывавшими сбои в работе систем на базе AMD. Новые обновления должны устранить наблюдавшиеся ранее проблемы. Также были представлены билды Windows 10 1506.877 и 14393.2034, для Creators Update (1703) и Anniversary Update (1607), соответственно.

Для владельцев процессоров Intel новости более удручающие. Представители компании признали, что обновленный микрокод вызывает проблемы не только у систем, построенных на базе процессоров с архитектурами Broadwell и Haswell. Оказалось, что сбои после обновления могут проявляться и в системах, работающих с процессорами Xeon, Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake. В итоге установка обновлений в большинстве случаев превращается в лотерею.

Вчера, 22 января 2018 года, представители Intel фактически приостановили распространение этих исправлений, призвав пользователей и производителей дождаться нормально работающих версий микрокодов. Согласно официальному заявлению, инженеры компании уже определили, что именно вызывало сбои и частые перезагрузки на платформах Broadwell и Haswell, и сейчас ведется активная разработка и тестирование новых патчей.

Линус Торвальдс критикует Intel

В эти недели критику в адрес Intel и других производителей можно услышать практически отовсюду, и в стороне не остаются даже такие влиятельные люди, как Линус Торвальдс. 22 января 2018 года Торвальдс обрушился на разработчиков Intel с острой критикой, поводом для которой послужили многострадальные патчи, призванные устранять уязвимость Spectre, Variant 2.

Дело в том, что инженеры Intel предложили для ядра свой вариант исправления CVE-2017-5715, вместо патчей retpoline. В рассылке Linux Kernel Торвальдс не стал выбирать выражения и назвал предложенные Intel решения «полным и абсолютным мусором» (complete and utter garbage) и «мерзким хаком» (nasty hack).

«Они [патчи] делают безумные вещи. Они делают бессмысленные вещи. Из-за них все ваши аргументы выглядят подозрительно и вызывают вопросы. Эти патчи делают вещи за гранью здравого смысла. Какого х** вообще происходит?, — пишет Торвальдс. — Все это полнейший мусор. Intel правда планирует сделать это дерьмо архитектурным? Кто-нибудь пытался поговорить с ними и объяснить, что они спятили на***? Пожалуйста, если здесь есть инженеры Intel, поговорите со своими менеджерами».

Негодование Торвальдса связано с предложенными разработчиками Intel решениями: IBRS (Indirect Branch Restricted Speculation), STIBP (Single Thread Indirect Branch Predictors) и IBPB (Indirect Branch Predictor Barrier). По мнению Торвальдса, никто в здравом уме не станет использовать IBRS и режим IBRS_ALL, так как данная, в частности, крайне неэффективна и приводит к значительному падению производительности.

13 комментария

  1. dimas9009

    23.01.2018 at 14:59

    Вообще это выглядит странным на фоне того что Intel достаточно давно об этом узнала (ну по крайне мере конспирологи так утверждают). Как минимум за пол года до публичного объявления. И всё это время они не смогли разработать не глючный патч? Пускай тормозящий, но хотя бы не глючный. А тут за две недели в попыхах всё переделывают? очень странно

  2. fabien

    23.01.2018 at 15:06

    >очень странно
    Из того, что я читал про интеловские уязвимости, у меня сложилось мнение, что интел вообще над ошибками работать не любит.
    >Какого х** вообще происходит?, — пишет Торвальдс.
    >объяснить, что они спятили на***?
    LOL Это Маша сама переводила? 😀

  3. Anon

    23.01.2018 at 20:45

    > 2012 год
    …So, NVIDIA, fuck you!
    > 2018
    …So, Intel, fuck you!

  4. Владиславище

    23.01.2018 at 23:23

    У Intel и AMD огромные возможности (ресурсы: аппаратура, специалисты, деньги), но ресурсы заняты на разработках новых аппаратных платформ и как в любом бизнесе отвлечение части ресурсов на исправление своих-же Багов, означает более медленное развитие и возможность дать аппоненту вырваться вперёд. Скорее всего это и является главной причиной кривых фиксов…

    • istepan

      24.01.2018 at 07:43

      Да, но вот репутационные потери более значительны. На долгосрочной перспективе это скажется еще большими финансовыми потерями.

  5. suhorez

    24.01.2018 at 00:56

    По ходу дела процесс разработки, а точнее обогащения несется с такой скоростью, что на такие вещи становится просто насра…
    Все работает по принципу, сейчас надо урвать, а после меня хоть
    потоп. Не зря же глава Intel все акции продал. Знал он, что технологические процессы быстро не перестроить, а патчи микрокода
    это костыли(проблема железячная а не софтовая) Это равносильно двигателю с задирами в поршневой, поменять карбюратор на инжектор(он от этого не поедет, хоть шамана позови из соседней деревни) Быстро эту проблему не решить. Я более чем уверен пройдет еще полгода-год, адекватного решения не будет(не на всех платформах) Нужно полностью критически пересмотреть всю архитектуру процессора и вносить изменения на физическом уровне,
    а это другие сроки и другие деньги и возможно уже другие лица.
    Сейчас сделать что то быстро ни чего не получиться. Что мы и наблюдаем. Остается только как Торвальдс кричать вы что там все
    оху***(да шли бы вы со своим микрокодом на х**)

  6. istepan

    24.01.2018 at 07:44

    У АМД есть шанс оторвать значительный кусок рынка у Интел.

    • Themistocles

      26.01.2018 at 00:14

      очень удачно совпало. рязань стрельнула и уязвимости подвержены в меньшей степени.

  7. john_

    24.01.2018 at 10:53

    Какая хайровая статья. Давно столько комментов не видел)))

  8. Lmar

    24.01.2018 at 21:46

    Просто раньше у иртела не было столько тестеров

  9. kipish

    26.01.2018 at 13:07

    ничего не устанавливай, пока не протестируют этот аттракцион 🙂

  10. jura12

    28.01.2018 at 09:19

    Pentium n3700 как сильно будет тормозить? У меня сервак на нем.

  11. comcom

    06.02.2018 at 03:49

    Похоже, что скорость старых процессоров превосходит скорость новых. Вот Интел и организовала понижение их производительности. И Майкрософт помогает.

Оставить мнение