Что случилось
3 января СМИ сообщили, что 64-битные процессоры Intel, выпущенные за последние 10 лет, подвержены серьёзной уязвимости — на уровне архитектуры. Используя её, злоумышленники могут получить доступ к защищённым областям в памяти ядра процессора.
Как это может повредить обычным пользователям
Проблема серьёзна. Этот эксплойт сможет стать базой для поиска других уязвимостей в системе. Что ещё хуже, в защищённой памяти ядра хранятся пароли, логины и прокэшированные файлы с жёсткого диска, так что взломщики могут получить доступ к личной информации пользователей.
Заполучить эти данные можно даже с помощью кода на JavaScript, запущенного в веб-браузере.
Каково решение
Чтобы разобраться с проблемой, инженеры Linux разработали метод, названный говорящей аббревиатурой FUCKWIT (Forcefully Unmap Complete Kernel With Interrupt Trampolines).
Если коротко, ядро ОС переносят в отдельное адресное пространство. Это позволяет защитить данные, но приводит к заметному падению производительности, так как системе приходится постоянно переключаться между двумя адресными пространствами — для каждого системного вызова и каждого аппаратного прерывания. Для этого процессору приходится постоянно выгружать кэшированные данные.
Это неизбежно приводит к падению производительности.
Насколько сильно и в каких процессах упадёт производительность
Специалисты предполагают, что скорость работы процессоров после патчей упадёт на 5-30%. И пострадают прежде всего центры обработки данных и другие предприятия такого рода.
Как отмечает PC Gamer, самое мощное падение будет видно в виртуальных машинах и приложениях, которые записывают и считывают огромное количество данных.
Обычные пользователи могут и не заметить разницы. По крайней-мере, судя по первым тестам на Linux и macOS, падения производительности после «заплатки» нет. Однако выводы об этом делать пока рано.
Что уже сделали разработчики популярных ОС
«Заплатка» для Linux уже вышла, а вот пользователям Windows, судя по всему, придётся подождать ещё несколько дней.
Apple частично закрыла уязвимость в обновлении macOS 10.13.2, вышедшем ещё 6 декабря. Ещё несколько исправлений добавят в 10.13.3, находящейся на стадии бета-теста.
Судя по всему, патчи в разработке уже около 2 месяцев. Вероятно, тогда Intel оповестила партнёров.
Что говорит Intel
В официальном заявлении Intel признала наличие уязвимости, но заявила, что информация об уникальности проблемы именно для её процессоров — «ошибочна».
В компании нашли признаки этого «бага» во «множестве цифровых устройств с разными операционными системами и процессорами разных производителей».
Intel говорит, что уже работает с компаниями вроде AMD и ARM над созданием «индустриального подхода» к решению проблемы.
Что говорит AMD
В компании утверждают, что их процессоры не подвержены уязвимости, но на практике первое обновление Linux не учитывает этой разницы и замедляет чипы как Intel, так и AMD.
Если так поступят и в Microsoft, и в Apple, AMD теоретически может пострадать от проблем конкурента. К тому же сама Intel утверждает, что уязвимость есть не только у её процессоров.
Что делать
Обновить Windows, macOS или Linux при первой же возможности. Скорее всего, ситуация окажется не такой страшной, как её сейчас описывают. Об уязвимости ещё многое неизвестно.
Источник: DTF
