Уязвимости в процессорах Intel, AMD и ARM64 приводят к снижению производительности

Уязвимости в процессорах Intel, AMD и ARM64 приводят к снижению производительности2018 год начался с неприятной новости относительно практически всех современных процессоров Intel и ARM64 (процессоры компании AMD эта история, похоже, затронула в гораздо меньшей степени). Разработчики из Google Project Zero раскрыли детали двух принципиальных уязвимостей в архитектурах современных процессоров.

Так, например, уязвимость CVE-2017-5754, получившая название Meltdown, позволяет приложению получить доступ к информации в любой области памяти устройства. Уязвимость можно эксплуатировать и в системах виртуализации. Таким образом, процесс из одной виртуальной машины может получить доступ к содержимому памяти хост-системы или других виртуальных машин. Похоже, что уязвимости подвержены все процессоры Intel, выпущенные начиная с 1995 года и по сей день за исключением процессоров архитектуры Itanium и процессоров Intel Atom, выпущенных до 2013 года.

Две других уязвимости (CVE-2017-5753 и CVE-2017-5715) под общим наименованием Spectre позволяют получить доступ к данным другого приложения. Уязвимостям подвержены как процессоры Intel и ARM64, так и процессоры AMD, но только при условии включения eBPF в ядре Linux.

Помимо очевидных проблем с безопасностью, побочным эффектом от данных уязвимостей может стать падение производительности процессоров при попытках обойти уязвимости на уровне софта (об этом ниже). По имеющейся на текущий момент информации, падение производительности может составлять от 5% до 30%. В некоторых случаях наблюдалось падение и на 63%.

Хорошей новостью можно считать тот факт, что устранение уязвимостей возможно на уровне ядра операционных систем. Частично уязвимость может закрыть обновление браузеров (это защитит от атак через JavaScript). Обновления для Windows выйдут, скорее всего, в январский «вторник исправлений». Исправления для macOS и Linux ожидаются в ближайшее время. Не остались в стороне и разработчики Mozilla Firefox и Google Chrome. Первые уже выпустили исправление для своего браузера, вторые обещают закрыть уязвимость к концу января.

Если с персональными компьютерами всё выглядит более или менее просто, то относительно других устройств ситуация является гораздо более сложной. Будут ли устранены вышеуказанные уязвимости или нет в этом случае зависит только от производителя устройства.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *