Intel promluvil o opravě Meltdownu a Spectre v CPU. Jako první ji dostane Cascade Lake

16. 3. 2018

Sdílet

 Autor: Redakce

Hardwarové chyby v procesorech není snadné opravit, a nejinak je to v případě bezpečnostních zranitelností Meltdown a Spectre. Nicméně Intel již před nějakou dobou oznámil, že by ještě před koncem tohoto roku měl mít na trhu křemík, který by již měl proti těmto útokům být v nějaké míře odolný. Nyní Intel zveřejnil podrobnosti o tom, které procesory to budou a čeho se opravy budou týkat.

Cascade Lake bude rezistentní

Přímo šéf Intelu Brian Krzanich nyní na blogu společnosti potvrdil, že první procesory s hardwarovou odolností vůči těmto útokům na spekulativní vykonávání kódu vyjdou v druhé polovině roku. Mají to být Xeony Scalable založené na architektuře Cascade Lake-SP, což je refresh Skylake-SP s některými novými funkcemi. Změny ve křemíku ale zdá se byly využity i k implementaci obran proti Spectre a Meltdownu.

intel-xeon-scalable-skylake-sp-wafer-1600Tato ochrana nebude jen něco elementárního ve smyslu nahrání nového mikrokódu přímo v továrně. Podle Krzanicha zřejmě v CPU byly provedeny úpravy, které zajistí, aby vykonávání instrukcí respektovalo rozdíly v oprávněních kódu. Nemělo by tedy už být možné, aby se kód z uživatelského prostoru dostal k paměti patřící jádru operačního systému, což doposud jádra dovolovala příliš laxní kontrolou. Podle blogu Intelu má tato ochrana pokrývat útoky Spectre varianta 2 (Branch Target Injection) a Meltdown. U těch právě docházelo k prolomení privilegií a to, že se běžný uživatelský program (včetně třeba javascriptu na stránce otevřené v prohlížeči) mohl dostat do jaderné paměti, bylo hlavním rizikem.

Naopak varianta 1 útoku Spectre (Bounds Check Bypass), těmito opravami pokryta nemá být. To opět zní logicky, jelikož v tomto případě není tak snadné problém podchytit. Spectre v1 totiž probíhá na stejné úrovni oprávnění, tedy v uživatelském prostoru. Jen vymáhání úrovně oprávnění tedy škodlivý kód nemůže zastavit. Text Intelu uvádí, že tato chyba bude nadále něčím, co se bude muset opravovat v individuálním software. Tedy operačních systémech, hypervizorech, webových prohlížečích a dalších programech, které jsou exponovány spouštění kódu z cizích zdrojů, u kterého je riziko škodlivosti, případně také úpravami kompilátorů.

ICTS24

intel-iotg-roadmapa-unik-unor-2017-slajdy-05 Slajd k novinkách procesorů Cascade Lake

To, že ochrany dostanou nové Xeony uvedené v druhé polovině roku, potěší provozovatele serverů (nebo alespoň ty, kteří jen nedávno nenakoupili současné čipy Skylake-SP). Ovšem zdá se, že na své bychom si mohli přijít i my spotřebitelé. Krzanich uvádí, že nějaké opravené procesory by se měly objevit i v běžné linii CPU, tedy Core i7 a tak dále, a to dokonce v generaci 8000, tedy té stávající. Není bohužel řečeno více, takže je docela možné, že je zde řeč hlavně o nových highendových procesorech Cascade Lake-X, které budou odvozené ze serverového křemíku a tedy by opravu měly automaticky také převzít. Zda se stejné změny v křemíku třeba formou nové revize dostanou i do procesorů Coffee Lake pro notebooky a desktopy, to bohužel netušíme. Teoreticky by snad mohly mít větší šanci procesory Whiskey Lake-U. Jejich vydání by mohlo přijít v podobném čase jako Cascade Lake-X/SP, a tak by snad také mohly být opravené.

Aktualizace mikrokódu jsou už dostupné pro další CPU, i přes Windows

Kromě toho Intel také oznámil, že aktualizace mikrokódu, která operačním systémům a softwaru dovoluje používat nové ochranné funkce proti variantě 2 útoku Spectre, je už dostupná pro všechny procesory společnosti vydané v posledních pěti letech. Mělo by jít o CPU od generace Sandy Bridge pro Coffee Lake. Mikrokódy jsou pro uživatele Linuxu dostupné zde, uživatelé Windows musí buď aplikovat aktualizaci BIOSu od výrobce PC či desky, nebo použít patch zavádějící aktualizaci přes operační systém Windows. Nicméně ten zatím funguje jen pro procesory Skylake, Kaby Lake a Coffee Lake, takže máte-li nějaký starší, budete muset ještě chvíli počkat.