Miten Meltdown- ja Specter-puutteet vaikuttavat tietokoneeseeni?
Tietokoneen prosessoreilla on massiivinen suunnitteluvirhe, ja kaikki ovat salaavia korjaamaan sen. Vain yksi kahdesta turva-aukkosta voidaan korjata, ja korjaustiedostot tekevät tietokoneista (ja Macista) Intel-siruja hitaammin.
Päivittää: Tämän artikkelin aiemmassa versiossa todettiin, että tämä virhe oli ominaista Intel-siruille, mutta se ei ole koko tarina. Itse asiassa on olemassa kaksi suuria haavoittuvuuksia täällä, nyt nimellä "Meltdown" ja "Spectre". Meltdown on pitkälti ominaista Intel-prosessoreille, ja se vaikuttaa kaikkiin CPU-malleihin viime vuosikymmeninä. Olemme lisänneet lisätietoja näistä kahdesta virheestä ja niiden välisestä erosta alla olevaan artikkeliin.
Mitä ovat romahdukset ja spektrit?
Specter on "perusrakenteen virhe", joka on markkinoilla kaikissa CPU: ssa, mukaan lukien AMD: n ja ARM: n sekä Intelin. Tällä hetkellä ohjelmistoja ei ole korjattu, ja se edellyttää todennäköisesti täydellistä laitteiston uudelleensuunnittelua keskipisteille, vaikka onneksi se on melko vaikeaa hyödyntää tietoturvatutkijoiden mukaan. On mahdollista suojata tiettyjä Specter-hyökkäyksiä vastaan, ja kehittäjät työskentelevät sen parissa, mutta paras ratkaisu on CPU-laitteiston uudelleensuunnittelu kaikille tuleville siruille.
Meltdown tekee pohjimmiltaan Specterin pahemmaksi tekemällä ydinperusteisen puutteen paljon helpommaksi hyödyntää. Se on pohjimmiltaan ylimääräinen virhe, joka vaikuttaa kaikkiin viime vuosikymmeniin tehtyihin Intel-prosessoreihin. Se vaikuttaa myös joihinkin huippuluokan ARM Cortex-A -prosessoreihin, mutta se ei vaikuta AMD-siruihin. Meltdown on nykyään korjattu käyttöjärjestelmiin.
Mutta miten nämä puutteet toimivat?
Tietokoneessasi toimivat ohjelmat toimivat eri tietoturvaoikeuksien tasoilla. Käyttöjärjestelmän ytimellä - Windows-ytimellä tai Linux-ytimellä - on esimerkiksi korkein käyttöoikeuksien taso, koska se suorittaa esityksen. Työpöytäohjelmilla on vähemmän oikeuksia ja ydin rajoittaa mitä he voivat tehdä. Ydin käyttää prosessorin laitteistotoimintoja joidenkin näiden rajoitusten noudattamiseksi, koska se on nopeampaa tehdä laitteistolla kuin ohjelmisto.
Ongelmana on "spekulatiivinen toteutus". Suorituskyvyn vuoksi nykyaikaiset keskusyksiköt suorittavat automaattisesti ohjeet, joita he tarvitsevat suorittavansa, ja jos ne eivät pysty, he voivat yksinkertaisesti kelata ja palauttaa järjestelmän edelliseen tilaansa. Intelin ja joidenkin ARM-prosessorien virheiden avulla prosessit voivat kuitenkin suorittaa toimintoja, joita he eivät yleensä pysty suorittamaan, koska toimenpide suoritetaan ennen prosessorin häiritsevyyttä tarkistaakseen, onko sillä lupa käyttää sitä. Se on Meltdown-virhe.
Sekä Meltdownin että Specterin ydinongelma on CPU: n välimuistissa. Sovellus voi yrittää lukea muistia, ja jos se lukee jotain välimuistissa, toimenpide suoritetaan nopeammin. Jos se yrittää lukea jotain, joka ei ole välimuistissa, se on hitaampi. Sovellus voi nähdä, onko jokin valmis nopeasti tai hitaasti, ja vaikka kaikki muut spekulatiivisen toteutuksen aikana puhdistetaan ja poistetaan, toiminnon suorittamiseen kuluvaa aikaa ei voida piilottaa. Sitten se voi käyttää tätä tietoa rakentaa kartan mihin tahansa tietokoneen muistiin, yksi bitti kerrallaan. Välimuisti nopeuttaa asioita, mutta nämä hyökkäykset hyödyntävät tätä optimointia ja muuttavat sen turvallisuusvikaksi.
Joten pahimmassa tapauksessa web-selaimessasi käytettävä JavaScript-koodi voi lukea tehokkaasti muistia, jota sillä ei pitäisi olla, kuten muissa sovelluksissa olevia yksityisiä tietoja. Erityisesti vaarana on pilvipalvelujen tarjoajat, kuten Microsoft Azure tai Amazon Web Services, jotka vastaanottavat useita eri yrityksen ohjelmistoja samassa laitteistossa olevissa eri virtuaalisissa koneissa. Yhden henkilön ohjelmisto voisi teoriassa vakoilea asioita toisen yrityksen virtuaalikoneessa. Se on sovellusten erottelu. Meltdownin korjaustiedostot tarkoittavat, että tämä hyökkäys ei ole yhtä helppoa vetää pois. Valitettavasti näiden ylimääräisten tarkastusten asettaminen paikoilleen merkitsee sitä, että jotkin toiminnot ovat hitaampia kyseisillä laitteilla.
Kehittäjät työskentelevät ohjelmistovälineillä, jotka tekevät Spectre-hyökkäyksistä vaikeammaksi. Esimerkiksi Googlen Chrome-sivuston uusi sivustojen eristystoiminto auttaa suojaamaan tätä, ja Mozilla on jo tehnyt muutoksia nopeasti Firefoxiin. Microsoft teki myös joitakin muutoksia, jotka auttavat suojaamaan Edge- ja Internet Explorer -ohjelmaa nyt saatavilla olevassa Windows-päivityksessä.
Jos olet kiinnostunut sekä Meltdownin että Specterin syvistä alhaisista yksityiskohdista, lue Googlen Project Zero -tiimin tekninen selitys, joka löysi viat viime vuonna. Lisätietoja on myös MeltdownAttack.com-sivustossa.
Kuinka paljon hitaampaa tulee minun PC?
Päivittää: Microsoft julkaisi 9. tammikuuta joitakin tietoja korjaustiedoston suorituskyvystä. Microsoftin mukaan Windows 10 -käyttöjärjestelmissä, joissa on vuoden 2016 aikakausi PC: t, joissa on Skylake, Kabylake tai uudempi Intel-prosessori, näkyy "yhden numeron hidastuminen", jota useimmat käyttäjät eivät saa huomata. Windows 10, jossa on vuoden 2015 aikakausi PC: t, joissa on Haswell tai vanhempi keskusyksikkö, saattaa näkyä suuremmissa hidastuksissa, ja Microsoft "odottaa, että jotkut käyttäjät havaitsevat järjestelmän suorituskyvyn heikkenemisen".
Windows 7- ja 8-käyttäjät eivät ole yhtä onnellisia. Microsoft sanoo, että he odottavat useimmilta käyttäjiltä, että järjestelmä on heikentynyt, kun käytät Windows 7: ää tai 8: ta vuoden 2015 PC: ssä, jossa on Haswell tai vanhempi CPU. Windows 7 ja 8 käyttävät vanhempia suorittimia, jotka eivät voi käyttää korjaustiedostoa niin tehokkaasti, mutta "Windows 7: ssä ja Windows 8: ssa on enemmän käyttäjä-ytimen siirtymiä vanhojen suunnittelupäätösten, kuten kaikkien ytimessä tapahtuvien fonttien esittämisen vuoksi" , ja tämä hidastaa myös asioita.
Microsoft aikoo suorittaa omat vertailuarvonsa ja julkaista tarkempia tietoja tulevaisuudessa, mutta emme tiedä tarkasti, kuinka paljon Meltdownin korjaustiedosto vaikuttaa vielä päivittäiseen PC-käyttöön. Dave Hansen, Linuxin ytimen kehittäjä, joka työskentelee Intelissä, kirjoitti alun perin, että Linux-ytimessä tehdyt muutokset vaikuttavat kaikkeen. Hänen mukaansa useimmat työmäärät näkevät yhden numeroisen hidastumisen, ja noin 5 prosentin hidastuminen on tyypillistä. Pahimmassa tapauksessa skenaario oli 30 prosentin hidastuminen verkkotestissä, joten se vaihtelee tehtävän mukaan. Nämä ovat Linux-numeroita, joten ne eivät välttämättä koske Windowsia. Korjaus hidastaa järjestelmän puheluita, joten tehtävät, joissa on paljon järjestelmäkutsuja, kuten ohjelmistojen ja virtuaalikoneiden käyttö, hidastavat todennäköisesti eniten. Mutta jokainen ohjelmisto käyttää joitakin järjestelmäkutsuja.
Päivittää: TechSpot ja Guru3D ovat tammikuun 5. päivästä lähtien suorittaneet Windowsille joitakin vertailuarvoja. Molemmat sivustot totesivat, että työpöydän käyttäjillä ei ole paljon huolta. Jotkut PC-pelit näkevät pienen 2%: n hidastumisen korjaustiedoston kanssa, joka on virhemarginaalin sisällä, kun taas toiset näyttävät toimivan samalla tavalla. 3D-mallinnus, tuottavuusohjelmistot, tiedostojen pakkaustyökalut ja salausapuohjelmat eivät vaikuta. Tiedostojen luku- ja kirjoitusnäytöt osoittavat kuitenkin huomattavia eroja. Nopeasti pienten tiedostojen nopean lukemisen nopeus laski noin 23% Techspotin vertailuarvoissa, ja Guru3D löysi jotain vastaavaa. Toisaalta Tom's Hardware löysi vain 3,21%: n keskimääräisen suorituskyvyn laskun kuluttajasovellusten säilytystestillä, ja väitti, että "synteettiset vertailuarvot", jotka osoittavat merkittävämpiä pisara-arvoja, eivät vastaa todellista käyttöä.
Tietokoneissa, joissa on Intel Haswell -prosessori tai uudempi, on PCID (Process-Context Identifier) -ominaisuus, jonka avulla korjaustiedosto toimii hyvin. Tietokoneet, joissa on vanhemmat Intel-prosessorit, saattavat näkyä nopeammin. Edellä mainitut vertailuarvot suoritettiin moderneilla Intel-prosessoreilla PCID: llä, joten on epäselvää, kuinka vanhemmat Intel-CPU: t toimivat.
Intel sanoo, että hidastuminen "ei pitäisi olla merkittävä" keskimääräisen tietokoneen käyttäjälle, ja toistaiseksi se näyttää totta, mutta tietyt toiminnot näkevät hidastumisen. Pilvestä Google, Amazon ja Microsoft kaikki ovat periaatteessa samaa mieltä: useimmat työmäärät eivät ole nähneet merkityksellistä suorituskykyvaikutusta laastareiden käyttöönoton jälkeen. Microsoft sanoi, että ”pieni joukko [Microsoft Azure] -asiakkaita voi vaikuttaa jonkin verran verkostoitumisvaikutuksia.” Nämä lausumat jättävät tilaa joillekin työmäärille merkittävien hidastusten havaitsemiseksi. Epic Games syytti Meltdown-korjaustiedostoa, joka aiheutti palvelinongelmia pelin kanssa Fortnite ja julkaisi kuvaajan, joka osoittaa valtavan määrän CPU-käytön kasvua pilvipalvelimissaan korjauksen asennuksen jälkeen.
Mutta yksi asia on selvä: Tietokoneesi ei varmasti ole nopeampi tällä korjaustiedostolla. Jos sinulla on Intel CPU, se voi vain hidastua, vaikka se olisi pieni.
Mitä minun pitää tehdä?
Joitakin päivityksiä Meltdown-ongelman korjaamiseen on jo saatavilla. Microsoft on julkaissut Windows Update -palvelun kautta 3. tammikuuta 2018 päivitetyn Windows-versioiden hätäpäivityksen, mutta se ei ole vielä tehnyt kaikkia tietokoneita. Windows Update, joka ratkaisee Meltdownin ja lisää joitakin suojauksia Specteria vastaan, on nimeltään KB4056892.
Apple jo korjasi ongelman MacOS 10.13.2: n kanssa, joka julkaistiin 6. joulukuuta 2017. Chromebookit, joissa on Chrome OS 63, joka julkaistiin joulukuun puolivälissä, on jo suojattu. Patches on saatavana myös Linux-ytimelle.
Tarkista lisäksi, onko tietokoneessasi saatavilla BIOS / UEFI-päivityksiä. Vaikka Windows-päivitys vahvisti Meltdown-ongelman, Intelin toimittamat CPU-mikrokoodin päivitykset UEFI- tai BIOS-päivityksen kautta mahdollistavat täysin suojan yhdeltä Specter-hyökkäyksiltä. Sinun pitäisi myös päivittää selaimesi, kuten tavallista, sillä selaimet lisäävät myös joitakin suojauksia Specteria vastaan.
Päivittää: Tammikuun 22. päivänä Intel ilmoitti, että käyttäjien pitäisi lopettaa UEFI: n alkuperäisten laiteohjelmistopäivitysten käyttöönotto, koska "odotetut uudet pelit ja muut arvaamattomat järjestelmäkäytännöt" ovat "odotettua suurempia". Intel sanoi, että sinun pitäisi odottaa lopullista UEFI-laiteohjelmiston korjaustiedostoa, joka on testattu oikein eikä aiheuta järjestelmän ongelmia. Helmikuun 20. päivästä lähtien Intel on julkaissut vakaa mikrokoodin päivityksiä Skylake, Kaby Lake ja Coffee Lake -tuotteille, jotka ovat 6., 7. ja 8. sukupolven Intel Core -ympäristöjä. PC-valmistajien tulisi aloittaa uusien UEFI-laiteohjelmistojen päivittäminen pian.
Vaikka suorituskyvyn osuma kuulostaa huonolta, suosittelemme, että asennat nämä korjaustiedostot joka tapauksessa. Käyttöjärjestelmien kehittäjät eivät tekisi tällaisia suuria muutoksia, ellei tämä olisi erittäin huono vika vakavilla seurauksilla.
Kyseinen korjaustiedosto korjaa Meltdown-virheen, ja jotkin ohjelmistokorjaukset voivat auttaa vähentämään Specter-virhettä. Mutta Spectre vaikuttaa todennäköisesti edelleen kaikkiin nykyaikaisiin CPU-laitteisiin, ainakin jossakin muodossa, kunnes uusi laitteisto vapautetaan korjaamaan sen. On epäselvää, miten valmistajat käsittelevät tätä, mutta sillä välin kaikki mitä voit tehdä, on jatkaa tietokoneesi käyttöä ja ryhtyä huolehtimaan siitä, että Specteria on vaikeampi hyödyntää, ja hieman enemmän huolta pilvipalveluista kuin loppukäyttäjät pöytätietokoneet.
Kuvaluotto: Intel, VLADGRIN / Shutterstock.com.