Computerprocessorer har en massiv designfejl, og alle kæmper for at ordne det. Kun et af de to sikkerhedshuller kan patches, og patchesne gør pc'er (og Macs) med Intel-chips langsommere.
Opdatering : En tidligere version af denne artikel sagde, at denne fejl var specifik for Intel-chips, men det er ikke hele historien. Der er faktisk to store sårbarheder her, nu kaldet "Meltdown" og "Spectre". Meltdown er stort set specifikt for Intel-processorer og påvirker alle CPU-modeller fra de sidste par årtier. Vi har tilføjet flere oplysninger om disse to bugs og forskellen mellem dem til artiklen nedenfor.
Hvad er nedbrydning og spøgelse?
Spectre er en "grundlæggende designfejl", der findes i enhver CPU på markedet - inklusive dem fra AMD og ARM såvel som Intel. Der er i øjeblikket ingen softwarefix, og det vil sandsynligvis kræve et komplet redesign af hardware til CPU'er over hele linjen - selvom det heldigvis er ret svært at udnytte, ifølge sikkerhedsforskere. Det er muligt at beskytte mod specifikke Spectre-angreb, og udviklere arbejder på det, men den bedste løsning er et redesign af CPU-hardware til alle fremtidige chips.
Meltdown gør Spectre grundlæggende værre ved at gøre den centrale underliggende fejl meget lettere at udnytte. Det er i det væsentlige en ekstra fejl, der påvirker alle Intel-processorer, der er fremstillet i de sidste par årtier. Det påvirker også nogle avancerede ARM Cortex-A-processorer, men det påvirker ikke AMD-chips. Meltdown patches i operativsystemer i dag.
Men hvordan fungerer disse fejl?
RELATEREDE: Hvad er Linux-kernen, og hvad gør den?
Programmer, der kører på din computer, kører med forskellige niveauer af sikkerhedstilladelser. Det operativsystemets kerne —For eksempel Windows-kernen eller Linux-kernen — har det højeste niveau af tilladelser, fordi den kører showet. Desktop-programmer har færre tilladelser, og kernen begrænser, hvad de kan gøre. Kernen bruger processorens hardwarefunktioner til at håndhæve nogle af disse begrænsninger, fordi det er hurtigere at gøre det med hardware end software.
Problemet her er med "spekulativ udførelse". Af ydeevnehensyn kører moderne CPU'er automatisk instruktioner, som de tror, de muligvis har brug for at køre, og hvis de ikke gør det, kan de simpelthen spole tilbage og returnere systemet til dets tidligere tilstand. Imidlertid tillader en fejl i Intel og nogle ARM-processorer processer til at køre operationer, som de normalt ikke kunne køre, da operationen udføres, før processoren gider at kontrollere, om den skal have tilladelse til at køre den eller ej. Det er Meltdown-bugten.
Kerneproblemet med både Meltdown og Spectre ligger inden for CPU-cachen. Et program kan forsøge at læse hukommelse, og hvis det læser noget i cachen, vil handlingen gennemføres hurtigere. Hvis det forsøger at læse noget, der ikke er i cachen, fuldføres det langsommere. Applikationen kan se, om noget fuldføres hurtigt eller langsomt, og mens alt andet under spekulativ udførelse ryddes op og slettes, kan den tid, det tog at udføre operationen, ikke skjules. Derefter kan den bruge disse oplysninger til at oprette et kort over alt i computerens hukommelse, en bit ad gangen. Cachingen fremskynder tingene, men disse angreb drager fordel af den optimering og gør det til en sikkerhedsfejl.
RELATEREDE: Hvad er Microsoft Azure, alligevel?
Så i værste fald kan JavaScript-kode, der kører i din webbrowser, effektivt læse hukommelse, som den ikke burde have adgang til, såsom private oplysninger i andre applikationer. Cloud-udbydere som Microsoft Azure eller Amazon Web Services , der er vært for flere forskellige selskabers software i forskellige virtuelle maskiner på samme hardware, er særligt udsatte. En persons software kunne i teorien spionere på ting i et andet selskabs virtuelle maskine. Det er en opdeling i adskillelsen mellem applikationer. Plasterne til Meltdown betyder, at dette angreb ikke vil være så let at trække af. Desværre betyder det at placere disse ekstra kontroller nogle handlinger vil være langsommere på den berørte hardware.
Udviklere arbejder på softwarepatches, der gør Spectre-angreb sværere at udføre. For eksempel Googles Chrome nye Site Isolation-funktion hjælper med at beskytte mod dette, og Mozilla har allerede lavet nogle hurtige ændringer til Firefox . Microsoft foretog også nogle ændringer for at beskytte Edge og Internet Explorer i Windows Update, der nu er tilgængelig.
Hvis du er interesseret i de dybe detaljer på lavt niveau om både Meltdown og Spectre, kan du læse den tekniske forklaring fra Google’s Project Zero team, der opdagede fejlene sidste år. Flere oplysninger findes også på MeltdownAttack.com internet side.
Hvor meget langsommere vil min pc være?
Opdatering : Den 9. januar frigav Microsoft nogle oplysninger om patchens ydeevne . Ifølge Microsoft viser Windows 10 på pc-er fra 2016 med Skylake, Kabylake eller nyere Intel-processorer "encifrede afmatninger", som de fleste brugere ikke burde bemærke. Windows 10 på 2015-æra-pc'er med Haswell eller en ældre CPU kan se større afmatninger, og Microsoft "forventer, at nogle brugere vil bemærke et fald i systemets ydeevne".
Brugere af Windows 7 og 8 er ikke så heldige. Microsoft siger, at de "forventer, at de fleste brugere bemærker et fald i systemets ydeevne", når de bruger Windows 7 eller 8 på en pc fra 2015 med Haswell eller en ældre CPU. Windows 7 og 8 bruger ikke kun ældre CPU'er, der ikke kan køre plasteret så effektivt, men "Windows 7 og Windows 8 har flere bruger-kernelovergange på grund af ældre designbeslutninger, såsom al fontgengivelse, der finder sted i kernen" , og dette bremser også tingene.
Microsoft planlægger at udføre sine egne benchmarks og frigive flere detaljer i fremtiden, men vi ved ikke nøjagtigt, hvor meget Meltdowns patch vil påvirke den daglige pc-brug endnu. Dave Hansen, en Linux-kerneudvikler, der arbejder hos Intel, skrev oprindeligt, at de ændringer, der foretages i Linux-kernen, vil påvirke alt. Ifølge ham ser de fleste arbejdsbelastninger en enkeltcifret afmatning med en omtrent 5% afmatning at være typisk. Det værste tilfælde var dog en afmatning på 30% på en netværkstest, så det varierer fra opgave til opgave. Dette er dog tal til Linux, så de gælder ikke nødvendigvis for Windows. Fix fixer systemopkald, så opgaver med mange systemopkald, såsom kompilering af software og kørsel af virtuelle maskiner, vil sandsynligvis sænke mest. Men hvert stykke software bruger nogle systemopkald.
Opdatering : Fra 5. januar TechSpot og Guru3D har udført nogle benchmarks for Windows. Begge sider konkluderede, at desktopbrugere ikke har meget at bekymre sig om. Nogle pc-spil ser en lille nedgang på 2% med patch'en, som ligger inden for fejlmargenen, mens andre ser ud til at udføre identisk. 3D-gengivelse, produktivitetssoftware, filkomprimeringsværktøjer og krypteringsværktøjer virker upåvirket. Imidlertid viser benchmarks for læsning og skrivning af filer mærkbare forskelle. Hastigheden til hurtigt at læse en stor mængde små filer faldt omkring 23% i Techspots benchmarks, og Guru3D fandt noget lignende. På den anden side, Tom's Hardware fandt kun et 3,21% gennemsnitligt fald i ydeevne med en opbevaringstest til forbrugerapplikationer og hævdede, at de "syntetiske benchmarks", der viser mere markante fald i hastighed, ikke repræsenterer den virkelige brug.
Computere med en Intel Haswell-processor eller nyere har en PCID (Process-Context Identifiers) -funktion, der hjælper patch'en med at fungere godt. Computere med ældre Intel-CPU'er kan muligvis se et større fald i hastighed. Ovenstående benchmarks blev udført på moderne Intel-CPU'er med PCID, så det er uklart, hvordan ældre Intel-CPU'er vil udføre.
Intel siger, at afmatningen "ikke skulle være signifikant" for den gennemsnitlige computerbruger, og indtil videre ser det ud til at være sandt, men visse operationer ser en afmatning. For skyen, Google , Amazon og Microsoft alle sagde stort set det samme: For de fleste arbejdsbelastninger har de ikke set en meningsfuld præstationspåvirkning efter udrulningen af patches. Microsoft sagde, at "et lille sæt af [Microsoft Azure] kunder kan opleve en vis indvirkning på netværkspræstationen." Disse udsagn giver plads til nogle arbejdsbelastninger for at se betydelige afmatninger. Episke spil beskyldte Meltdown-patch for at forårsage serverproblemer med sit spil Fortnite og offentliggjorde en graf, der viser en enorm stigning i CPU-brugen på dens cloud-servere, efter at opdateringen blev installeret.
Men en ting er klart: Din computer bliver bestemt ikke hurtigere med denne patch. Hvis du har en Intel-CPU, kan den kun blive langsommere - selvom den er lidt.
Hvad skal jeg gøre?
RELATEREDE: Sådan kontrolleres, om din pc eller telefon er beskyttet mod nedsmeltning og spøgelse
Nogle opdateringer til løsning af Meltdown-problemet er allerede tilgængelige. Microsoft har udstedt en nødopdatering til understøttede versioner af Windows via Windows Update den 3. januar 2018, men det har ikke gjort det til alle pc'er endnu. Windows Update, der løser Meltdown og tilføjer nogle beskyttelser mod Spectre, er navngivet CP 4056892 .
Apple allerede lappet problemet med macOS 10.13.2, udgivet den 6. december 2017. Chromebooks med Chrome OS 63, som blev frigivet i midten af december, er allerede beskyttet. Patches er også tilgængelige til Linux-kernen.
Ud over, Kontroller, om din pc har BIOS / UEFI-opdateringer tilgængelige . Mens Windows-opdateringen løste Meltdown-problemet, er CPU-mikrocodeopdateringer fra Intel leveret via en UEFI- eller BIOS-opdatering nødvendige for fuldt ud at muliggøre beskyttelse mod et af Spectre-angrebene. Du bør også opdatere din webbrowser - som normalt - da browsere også tilføjer nogle beskyttelser mod Spectre.
Opdatering : 22. januar Intel meddelte at brugerne skal stoppe med at implementere de oprindelige UEFI-firmwareopdateringer på grund af "højere genstart end forventet og anden uforudsigelig systemadfærd". Intel sagde, at du skulle vente på en endelig UEFI-firmware-patch, der er blevet testet korrekt og ikke vil forårsage systemproblemer. Fra den 20. februar har Intel gjort det frigivet stabile mikrokodeopdateringer til Skylake, Kaby Lake og Coffee Lake - det er 6., 7. og 8. generation Intel Core-platforme. PC-producenter skal snart begynde at udrulle nye UEFI-firmwareopdateringer.
Selvom et performance hit lyder dårligt, anbefaler vi alligevel stærkt at installere disse patches. Operativsystemudviklere ville ikke foretage så massive ændringer, medmindre dette var en meget dårlig fejl med alvorlige konsekvenser.
Den pågældende softwarepatch reparerer Meltdown-fejlen, og nogle softwarepatches kan hjælpe med at afbøde Spectre-fejlen. Men Spectre vil sandsynligvis fortsætte med at påvirke alle moderne CPU'er - i det mindste i en eller anden form - indtil ny hardware frigives for at rette det. Det er uklart, hvordan producenter vil håndtere dette, men i mellemtiden er alt, hvad du kan gøre, at fortsætte med at bruge din computer - og trøste dig med, at Spectre er sværere at udnytte og noget mere bekymrende for cloud computing end slutbrugere med stationære pc'er.
