Калі пасля аб ZombieLoad вы ў паніцы высвятляеце, як адключыць функцыю Intel Hyper-Threading, каб прадухіліць выкарыстанне новай уразлівасці, падобнай на Spectre і Meltdown, то зрабіце глыбокі выдых – афіцыйнае кіраўніцтва Intel фактычна не рэкамендуе рабіць гэта для большасці выпадкаў.
ZombieLoad аналагічная папярэднім нападам па "пабочных каналах" (англ. side-channel attack), якія змушаюць працэсары Intel адкрываць доступ да патэнцыйна канфідэнцыйнай інфармацыі, якая звычайна ізаляваная і даступная толькі для выкарыстоўвалых яе прыкладанняў. Даследнікі па бяспецы паведамілі раней, што гэтая ўразлівасць прысутнічае ў большасці чыпаў Intel і можа быць скарыстана ў Windows, MacOS і Linux.
Intel са свайго боку не згодна з тым, наколькі сур'ёзным ацэньваецца рызыка ZombieLoad. Кампанія нават вырашыла даць ZombieLoad іншую назву – Microarchitectural Data Sampling (MDS) або Мікраархітэктурная выбарка дадзеных. Пагадзіцеся, гэта гучыць значна менш страшна, чым дасыланне да нейкіх зомбі.
"Уразлівасць MDS заснавана на выбарцы дадзеных, якія прасочваюцца з невялікіх структур у ЦП пры выкарыстанні лакальна выкананага пабочнага канала спекулятыўнага выканання", – тлумачаць у кампаніі. Практычная эксплуатацыя MDS з'яўляецца вельмі складанай справай. Сама па сабе ўразлівасць не падае зламысніку спосаб абраць тыя дадзеныя, якія ён жадае атрымаць».
"MDS ужо ліквідаваная на апаратным узроўні ў многіх нашых апошніх працэсарах Intel Core 8-га і 9-га пакалення, а таксама ў сямействе працэсараў Intel Xeon Scalable другога пакалення", – гаворыцца ў паведамленні кампаніі. «Для іншых закранутых прадуктаў меры па зніжэнні рызыкі даступныя з дапамогай абнаўлення мікракода ў спалучэнні з адпаведнымі абнаўленнямі аперацыйнай сістэмы і праграмнага забеспячэння гіпервізара, якія даступныя з сённяшняга дня. Мы падалі на нашым вэб-сайце і працягваем заклікаць усіх падтрымліваць свае сістэмы ў актуальным стане, паколькі гэта - адзін з лепшых спосабаў забеспячэння бяспекі».
Прадстаўнікі Intel таксама паказалі і на тое, што даследчая група ZombieLoad працавала з кампаніяй і іншымі адмыслоўцамі ў індустрыі ПК, каб выправіць уразлівасць, перш, чым пра яе стане публічна вядома. "Мы хацелі б выказаць нашу падзяку даследчыкам, якія працавалі з намі, і нашым партнёрам па галіне за іх уклад у скаардынаванае вырашэнне гэтай праблемы".
Так што наконт Hyper-Threading?
Intel заявіла, што адключэнне Hyper-Threading – не абавязковы і не адзіны варыянт для карыстальнікаў ПК. Насамрэч, па словах Intel, кожны кліент сам вырашае, што яму рабіць. Калі вы не можаце гарантаваць бяспеку ўсталяванага ў вас праграмнага забеспячэння, тады так, верагодна, адключыць Hyper-Threading – гэта добрая ідэя. Калі ж праграмнае забеспячэнне пастаўляецца толькі з крамы Microsoft, з ІТ-аддзела ці проста ўсталявана з давераных, па вашым меркаванні, крыніц, вы, верагодна, можаце пакінуць Hyper-Threading уключаным. Усё сапраўды залежыць толькі ад таго, наколькі вы перажываеце аб сваёй бяспецы.
"Паколькі фактары значна адрозніваюцца для розных кліентаў, Intel не рэкамендуе адключаць Hyper-Threading, так як важна разумець, што гэта – не адзіны шлях забяспечыць абарону ад MDS і не забяспечвае абарону само па сабе", – гаворыцца ў заяве кампаніі.
У той жа час, рэакцыі вытворцаў аперацыйных сістэм адрозніваецца сябар ад сябра.
Google выпусціў выпраўленне для Chrome OS, якое па змаўчанні адключае Hyper-Threading для Chromebook. Людзі, якія хочуць уключыць тэхналогію мультыструменнасці назад, могуць зрабіць гэта самастойна, лічаць у кампаніі.
Apple выпусціла абнаўленне для MacOS Mojave і паведаміла, што кліенты кампаніі, асабліва патрабавальныя да бяспекі, могуць адключыць Hyper-Threading самастойна.
Microsoft заявіла, што выпусціла патчы для свайго праграмнага забеспячэння, каб скараціць верагоднасць выкарыстання MDS, але таксама адзначыла, што кліенты павінны дадаткова атрымаць абнаўленне прашывак ад сваіх вытворцаў ПК.
У сувязі з тым, што па большай частцы пастаўшчыкі аперацыйных сістэм вырашылі пакінуць Hyper-Threading уключаным, пагроза ZombieLoad, відавочна, не так сур'ёзная, як гэта здавалася яшчэ суткі таму. Да таго ж, да гэтага часу няма ніводнага вядомага выпадку выкарыстання ўразлівасці ў рэальным нападзе.
Пры гэтым выкарыстанне патчаў без адключэння тэхналогіі Hyper-Threading амаль не змяншае прадукцыйнасць працэсараў Intel.
Але вы не паверыце, калі паглядзіце на Intel уплывы патчаў бяспекі на прадукцыйнасць пры адключаным Hyper-Threading. Кампанія сцвярджае, што выпраўленні бяспекі разам з адключэннем Hyper-Threading аказваюць падазрона невялікі ўплыў на прадукцыйнасць.
партал катэгарычна не згодзен з меркаваннем Intel аб тым, што адключэнне Hyper-Threading не ўяўляе асаблівай праблемы, хоць Intel і дэманструе ў сваім дакуменце, што прадукцыйнасць практычна не змянілася. Праблема складаецца ў штучнасці тэстаў Intel пры адключэнні Hyper-Threading, паколькі кампанія не тэставала спецыфічныя шматструменныя нагрузкі. Калі б Intel узяла тэсты Blender, Cinebench ці іншыя, разлічаныя на шмат'ядравыя і шматструменныя працэсары, мы б адразу ўбачылі магутны правал у хуткадзейнасці.
Каб падкрэсліць, наколькі важная тэхналогія Hyper-Threading, можна проста паглядзець на працэсары Intel i9-9900K за $500 і i7-9700K за $375, галоўнае адрозненне якіх складаецца як раз у падтрымцы Hyper-Threading. Адключэнне Hyper-Threading на працэсарах Intel – гэта неверагодны ўдар для ўсіх, каму важная шматструменная прадукцыйнасць.
Але ёсць і добрая навіна для тых, хто выкарыстоўвае найноўшыя працэсары Intel. Як заявілі ў кампаніі, многія з яе апошніх працэсараў 8-га і 9-га пакалення ўжо маюць выпраўленні апаратнага мікракода, таму ўладальнікам i9-9900K няма ніякіх прычын адключаць Hyper-Threading. Небяспека ZombieLoad, відавочна, вышэй для больш старых працэсараў. Уладальнікі гэтых сістэм павінны будуць спадзявацца на абнаўленні аперацыйнай сістэмы і праграмнага забеспячэння, а таксама на працу выкарыстоўваных імі антывірусных рашэнняў, каб зменшыць рызыку атрымання шкоднаснага кода. А таксама яшчэ раз нагадаем той факт, што да гэтага часу не вядома ні аб адной атацы, якая выкарыстоўвае ZombieLoad.
Крыніца: 3dnews.ru