Kui pärast Teave ZombieLoadi kohta Kui olete paanikas, kui mõtlete välja, kuidas keelata Inteli funktsioon Hyper-Threading, et vältida Spectre ja Meltdowniga sarnase uue haavatavuse ärakasutamist, siis hingake sügavalt sisse – Inteli ametlikud juhised ei soovita seda enamikul juhtudel teha. juhtudel.
ZombieLoad sarnaneb eelmiste külgkanalite rünnakutega, mis sunnivad Inteli protsessoreid paljastama potentsiaalselt tundlikku teavet, mis oleks tavaliselt isoleeritud ja juurdepääsetav ainult seda kasutavatele rakendustele. Turvauurijad on varem teatanud, et haavatavus esineb enamikus Inteli kiipides ning seda saab ära kasutada Windowsis, MacOS-is ja Linuxis.
Intel omalt poolt ei nõustu sellega, kui tõsiseks ZombieLoadi ohtu hinnatakse. Ettevõte otsustas isegi anda ZombieLoadile teise nime – Microarchitectural Data Sampling (MDS) või Microarchitectural Data Sampling. Nõus, see kõlab palju vähem hirmutavalt kui viide mõnele zombile.
"MDS-i haavatavus põhineb andmete proovivõtmisel, mis lekib väikestest struktuuridest CPU-sse, kasutades kohapeal teostatavat spekulatiivset täitmise kõrvalkanalit," selgitab ettevõte. „MDS-i praktiline toimimine on väga keeruline. Haavatavus ise ei anna ründajale võimalust valida andmeid, mida nad soovivad hankida.
"MDS-i on juba käsitletud riistvara tasemel paljudes meie uusimates 8. ja 9. põlvkonna Intel Core protsessorites, samuti XNUMX. põlvkonna Intel Xeon Scalable protsessorite perekonnas," teatas ettevõte. "Teiste mõjutatud toodete puhul on leevendusmeetmed saadaval mikrokoodi värskenduse kaudu koos sobiva operatsioonisüsteemi ja hüperviisori tarkvara värskendustega, mis on saadaval alates tänasest. Meie pakkusime meie veebisaidil ja julgustame kõiki oma süsteeme ajakohasena hoidma, kuna see on üks parimaid viise turvalisuse tagamiseks."
Intel märkis ka, et ZombieLoadi uurimisrühm töötas koos ettevõtte ja teiste personaalarvutite tööstusega haavatavuse parandamiseks enne, kui see avalikult teatavaks sai. "Soovime avaldada tänu meiega koostööd teinud teadlastele ja meie tööstuspartneritele nende panuse eest selle probleemi koordineeritud lahendusse."
Kuidas on siis hüperkeermega?
Intel on teatanud, et arvutikasutajate jaoks pole Hyper-Threadingi keelamine vajalik või ainus võimalus. Tegelikult ütleb Intel, et iga klient otsustab ise, mida teha. Kui te ei saa garanteerida installitud tarkvara turvalisust, siis jah, tõenäoliselt on hea mõte Hyper-Threading keelata. Kui tarkvara pärineb ainult Microsofti poest, teie IT-osakonnast või installitakse lihtsalt usaldusväärsetest allikatest, võite tõenäoliselt jätta Hyper-Threadingi lubatuks. See sõltub tõesti sellest, kui mures te oma turvalisuse pärast olete.
"Kuna tegurid on klientide vahel väga erinevad, ei soovita Intel Hyper-Threadingut keelata, kuna on oluline mõista, et see ei ole ainus viis kaitsta MDS-i eest ega paku kaitset üksi," ütles ettevõte avalduses. .
Samas erinevad operatsioonisüsteemide tootjate reaktsioonid üksteisest.
Google on välja andnud Chrome OS-i jaoks paranduse, mis vaikimisi keelab Chromebookide jaoks hüperkeerme. Inimesed, kes soovivad mitme keermega tehnoloogiat uuesti sisse lülitada, saavad seda ise teha, usub ettevõte.
Apple on välja andnud MacOS Mojave värskenduse ja teatas, et ettevõtte kliendid, eriti turvateadlikud, saavad ise Hyper-Threadingi keelata.
Microsoft teatas, et on oma tarkvara jaoks välja andnud paigad, et vähendada MDS-i tõenäosust, kuid märkis ka, et kliendid peaksid lisaks hankima püsivara värskendusi oma arvutitootjatelt.
Kuna enamasti on operatsioonisüsteemide müüjad otsustanud Hyper-Threadingi lubatuks jätta, pole ZombieLoadi oht ilmselt nii tõsine, kui veel päev tagasi tundus. Lisaks pole siiani teada ühtegi juhtumit, kus haavatavust oleks kasutatud reaalses rünnakus.
Samal ajal ei vähenda paikade kasutamine ilma Hyper-Threadingi tehnoloogiat keelamata peaaegu Inteli protsessorite jõudlust.
Kuid te ei usu seda, kui seda vaatate Inteli turvapaikade mõju jõudlusele, kui Hyper-Threading on keelatud. Ettevõte väidab, et turvapaigad koos Hyper-Threadingu keelamisega mõjutavad jõudlust kahtlaselt vähe.
Портал Ma ei nõustu täielikult Inteli arvamusega, et Hyper-Threadingi keelamine pole suur probleem, kuigi Intel näitab oma dokumendis, et jõudlus on praktiliselt muutumatu. Probleem on selles, et Inteli testid on Hyper-Threadingi keelamisel kunstlikud, kuna ettevõte ei testinud konkreetseid mitme lõimega töökoormusi. Kui Intel oleks kasutanud Blenderit, Cinebenchi või muid mitmetuumaliste ja mitme keermega protsessorite jaoks loodud võrdlusaluseid, oleksime kohe näinud tohutut jõudluse langust.
Et rõhutada, kui oluline on Hyper-Threading tehnoloogia, võite lihtsalt vaadata 9-dollarise Inteli i9900-500K ja 7-dollarise i9700-375K protsessoreid, mille peamine erinevus seisneb nende Hyper-Threadingu toetamises. Inteli protsessoritel Hyper-Threadingi keelamine on uskumatu löök kõigile, kes hoolivad mitme lõimega jõudlusest.
Kuid on häid uudiseid neile, kes kasutavad uusimaid Inteli protsessoreid. Ettevõte teatas, et paljudel tema viimastel 8. ja 9. põlvkonna protsessoritel on juba riistvara mikrokoodiparandused, seega pole i9-9900K omanikel põhjust Hyper-Threadingut keelata. ZombieLoadi oht on vanemate protsessorite puhul ilmselt suurem. Nende süsteemide omanikud peavad pahatahtliku koodi saamise riski vähendamiseks toetuma operatsioonisüsteemi ja tarkvara värskendustele ning oma viirusetõrjelahenduste jõudlusele. Tuletagem ka veel kord meelde tõsiasja, et seni pole teada ühtegi ZombieLoadi kasutavat rünnakut.
Allikas: 3dnews.ru