Łatka na lukę w IGP Intela mocno ogranicza ich wydajność pod Linuksem
Autor: Wedelek | źródło: Phoronix | 18:18
(30)
Intel poinformował o kolejnej luce odnalezionej w jego procesorach. Tym razem dotyczy ona niedostatecznej kontroli przepływu danych w IGP, co zdaniem producenta może skutkować uzyskaniem dostępu do danych przez nieautoryzowanego użytkownika w sieci lokalnej. Eksperci ds. zabezpieczeń idą dalej i sugerują, że podatność oznaczona numerem CVE-2019-14615 (INTEL-SA-00314) może pozwalać na ataki z zewnątrz za pomocą aplikacji webowych korzystających z bibliotek WebGL. Sam Intel o problemie wiedział już od sierpnia i zdążył wydać częściową poprawkę dla systemów Windows, oraz znacznie bardziej rozbudowaną dla Linuksa.
Jej wpływ na wydajność sprawdził serwis Phoronix korzystając przy tym z szeregu aplikacji syntetycznych. W pierwszej chwili, po analizie wyników uzyskanych przez procesor z rodziny Core i9 wydawało się, że patch nie wpływa znacząco na wydajność i w sumie nie ma się czym przejmować. Ponieważ jednak odnaleziona luka dotyczyła wszystkich układów począwszy od serii Core 3000 (Ivy Bridge) do Core 10000, a także wydawanych w tym okresie Xeonów oraz Atomów, toteż pod lupę wzięto starsze układy.
To był strzał w dziesiątkę. W zależności od wybranego testu po implementacji poprawki wydajność IGP spadła o kilka do kilkunastu procent (w skrajnym przypadku przed instalacją była ponad 200% wyższa). Przy tym jedne CPU tracą mniej, a inne więcej – najwięcej te z architekturą Haswell. Przykładowo układ graficzny w Core i7 3770K (Ivy Bridge) po aktualizacji poprawki stracił średnio 18% mocy, a w przypadku Core i7 4790K (Haswell) było to aż 42%.
Na pierwszy rzut oka mogłoby się wydawać, że akurat w przypadku IGP spadek wydajności jest mało znaczący, ale trzeba przy tym pamiętać, że część oprogramowania wykorzystuje układ graficzny do przyspieszania obliczeń, przez co ostatecznie negatywny wpływ patcha dla wielu osób może być bardzo dotkliwy. Pozostaje mieć tylko nadzieję, że Intel dopracuje łatkę w niedalekiej przyszłości, minimalizując jej wpływ na moc IGP.
Szczegółowy opis problemu wraz z testami znajdziecie TUTAJ.
K O M E N T A R Z E
Czy w Intelu (autor: kombajn4 | data: 17/01/20 | godz.: 18:24) starali się zabezpieczyć cokolwiek czy zupełnie szli po bandzie niczym się nie przejmując? Ja się dziwię że oni A.D. 2020 w ogóle mają jakiś klientów biznesowych.
Jak wydajność może spaść o 200% ? (autor: steve | data: 17/01/20 | godz.: 18:53)
"...wydajność IGP spadła od kilku do ponad 200%".
???
%%% (autor: Conan Barbarian | data: 17/01/20 | godz.: 20:05) "wydajność IGP spadła od kilku do kilkunastu procent (przed instalacją była ponad 200% wyższa)"
"stracił średnio 18% mocy"
"ostatecznie negatywny wpływ patcha dla wielu osób może być bardzo dotkliwy"
Brakuje mi słów.
@up (autor: Saturn64 | data: 17/01/20 | godz.: 20:48) Może testy na zlecenie serwisu Phoronix przeprowadzała firma Principled Technologies?
Proszę o potwierdzenie (autor: Baraka | data: 17/01/20 | godz.: 21:34) że na zdjęciu jest oryginalny ser szwajcarski, w innym wypadku dziury mają mniejsze znaczenie
wszystkioe łatki Intela w 2019 roku (autor: Mario2k | data: 17/01/20 | godz.: 21:40) W niektórych specyficznych zastosowaniach ograniczyły wydajność CPU aż do 11% !! !! !! !! to teraz nam powinni te 11% z ceny oddać ,nieprawdaż ?
@up (autor: Saturn64 | data: 17/01/20 | godz.: 22:07) Może gdyby udowodniono, że było to działanie celowe to można by żądać rekompensaty. Gdyby karano za niezamierzone działanie produktu lub utratę wydajności w trakcie jego użytkowania albo zauważone błędy w czasie jego eksploatacji to nikt by nic nie produkował albo nikt by nie ryzykował wprowadzania zmian do produkowanych produktów bojąc się kar i nałożonych odszkodowań. Większość rzeczy wyprodukowanych przez człowieka staje się z czasem wadliwych albo tracą na wydajności. Równie dobrze można to odnieść też do oprogramowania, jak i np silników spalinowych, produktów żywnościowych itd. A jak byś widział sytuację gdy poprzez zmianę sterowników produkt przyspiesza o 20% już po jego zakupie (dopłacić producentowi?)
czekam na faktycznie użycie tych luk (autor: Shark20 | data: 18/01/20 | godz.: 00:34) i spodziewam się, że przyjdzie ono szybko i nagle - ale w postaci takiej, że luka w CPU jest tylko częścią całego ataku, ale jednak taką, bez której atak by nie mógł się odbyć. Jak w katastrofach lotniczych - w >95% przypadków jest kilka czynników, które nałożyły się na siebie i ją wywołały.
Póki co VmWare ma rozwiązanie NSX - separacja maszyn wirtualnych między sobą. NSX zabezpiecza przed przenikaniem z jednej maszyny wirtualnej do drugiej przez luki procesora obsługującego te same maszyny wirtualne.
Rozwiązanie jest na rynku od ponad roku. Co ciekawe - szefem VmWare od paru dobrych lat jest Pat Gelsinger - wieloletni ważny pracownik Intela. Ciekawe, czy zdawał on sobie sprawę o lukach w CPU Intela, które zostaną kiedyś odkryte, i przychodząc jako prezes VmWare opracował na to gotowe rozwiązanie, które pojawiło się akurat przypadkowo w zbliżonym czasie jak odtajnienie informacji o lukach w CPU Intela?
Podoba mi sie obrazek z newsa (autor: Wyrzym | data: 18/01/20 | godz.: 07:47) @Wedelek, sam robiles? :D
Kiedys jak te luki zaczely wyplywac to bylo wiecej emocji, teraz to sie wzrusza ramionami tlyko i mysli "o, znowu"
@up (autor: Wedelek | data: 18/01/20 | godz.: 09:24) nie, znalazłem kiedyś odpowiednią grafikę i tylko ją poprawiłem, żeby pasowała do newsa/serwisu.
Wedelek specjalnie poszedl (autor: Baraka | data: 18/01/20 | godz.: 12:17) do spożywczaka po ser,ale na śniadanie zeszło troche.Przeto mało dziur w Intelu
sie okazuje (autor: pawel1207 | data: 18/01/20 | godz.: 13:44) ze gdyby nie dziury intela i ich latanie amd z ipc bylo bylo by daleko za intelem :D parodia ..
A tak na poważnie - to być może jest to jakiś celowy zabieg, żeby rozdmuchiwać co raz to nowsze luki, które "wyglądają jak przymus i nakaz do przejścia na nowe podzespoły? Oni starają się zmusić ludzi do zakupu nowego sprzętu właśnie poprzez zastraszenie.
A sa jakieś Intele bez dziur? (autor: Pio321 | data: 18/01/20 | godz.: 18:10) Jak już to Intel zachęca do zakupu procesorów konkurenta.
pisałem kiedyś, (autor: Duke Nukem PL | data: 19/01/20 | godz.: 13:08) że Intel zmienia branżę i szwajcarscy serowarzy czują się zagrożeni. No i proszę, Intel konsekwentnie trzyma się kursu. :D
Hmm (autor: PCCPU | data: 19/01/20 | godz.: 14:39) Poczekamy jak ukłaów AMD ilościowo będzie znacznie więcej na rynku i wtedy zobaczymy ile dziur wyjdzie.
Niektórzy się mocno zdziwią ;)
Ciekawe co wtedy będą pisać ludzie o Zen, Zen+ Zen2 i Zen3.
Obecnie układów AMD jest jak kropla w morzu względem tego ile Intel do tej pory procesorów wyprodukował więc nikt nie pompował grubej kasy w wynajdywanie bocznych furtek w mechanice działania mikroarchitektóry bo i po co.
Jeśli AMD będzie miało znaczący udział w rynku to i chętni na szukanie dziur się znajdą.
@PCCPU (autor: rainy | data: 19/01/20 | godz.: 14:55) Wyobrażasz sobie w ogóle taką możliwość, iż AMD zaprojektowało architekturę Zen i jej pochodne lepiej pod kątem bezpieczeństwa?
Co bynajmniej niej oznaczą, iż nie ma czy, iż nie będzie w niej wykrytych luk - współczesne procesory są tak skomplikowane, że praktycznie jest to niemożliwe.
Btw, to, iż Intel poświęcił bezpieczeństwo na rzecz wydajności, widać gołym okiem po ilości dziur wykrytych w ostatnich 2-3 latach.
Rainy (autor: PCCPU | data: 19/01/20 | godz.: 15:14) Nie ma pewności więc nie możesz być pewny że nie ma a moim zdaniem dziury w AMD się znajdą tylko jak układów na rynku będzie znacznie więcej niż obecnie.
Rdzenie AMD czy to Intela przetwarzają dokładnie te same rozkazy x86 tyle że za pomocą różnych mechanizmów czy rozwiązań sprzętowych.
Niektórzy się z tego śmieją ale wiadomo czym jest USA i jak ingeruje we wpływy i terytoria na ziemi. AMD i Intel są z USA tak jak i m.in NSA czy CIA. Wystarczy dodać dwa do dwóch i wychodzi że znalezienie dziur w CPU AMD to kwestia bliższej lub dalszej przyszłości.
@PCCPU (autor: rainy | data: 19/01/20 | godz.: 15:22) Chyba niedokładnie przeczytałeś, to co napisałem: stwierdziłem tylko, że AMD mogło zaprojektować swoje procesory bezpieczniej niż zrobił to Intel.
Co do udziałów AMD, to wzrosły one znacząco w przeciągu ostatnich 10 kwartałów, zaś sama architektura Zen jest na rynku już blisko 3 lata.
Rainy (autor: PCCPU | data: 19/01/20 | godz.: 15:28) Układy AMD wydają się być bezpieczniejsze aczkolwiek na ten moment nie ma co wyrokować ponieważ jest za wcześnie.
To że Zen jest 3 lata to jeszcze za krótki okres czasu a to że przeciągu tego czasu układów na rynku jest znacznie więcej to jeszcze daleko do ilości wyprodukowanych procesorów przez Intela przez okres ponad 10 lat.
To ja może (autor: kombajn4 | data: 19/01/20 | godz.: 16:41) przypomnę że część "Intelowskich" dziur była też na procesorach AMD ale to była kropla w morzu w stosunku do tego ile od czasu pierwszych wieści o Specter/Meltdown wykryto luk w CPU Intela
A poza tym (autor: kombajn4 | data: 19/01/20 | godz.: 16:42) U Intela to są często luki obecne od kilku lub nawet kilkunastu lat.
kombain4 (autor: PCCPU | data: 19/01/20 | godz.: 17:21) O których dowiedzieliśmy się dopiero w 2017 roku
Edit (autor: PCCPU | data: 19/01/20 | godz.: 17:47) Już kiedyś pisała tu pewna osoba na ten temat że nic nie da się ukryć w procesorach bo robione są skany układów warstwa po warstwie itd. Ciekawe kto płaci sporą kasę że analizowanie każdego obwodu logicznego po szlifowaniu warstwa po warstwie bo na pewno nie robią tego studenci w ramach pracy magisterskiej czy doktoratu.
Ciekawe że dopiero w czasie gdy AMD wypuszcza Zen luki w Intelowskich układach są upubliczniane nawet te które istnieją od czasów Pentium PRO czyli połowa lat 90 dwudziestego wieku.
To prowadzi do wniosku że nie jest to proste i nikt nie analizował logiki CPU Intela obwód po obwodzie szlifując warstwa po warstwie. A wyciek luk w AMD i Intel jest przykrywką i uśpieniem czujności przed znacznie bardziej zaawansowaną logika w CPU wykorzystaną przez służby USA.
@4. (autor: Mariosti | data: 19/01/20 | godz.: 21:13) W Phoronix testy na linuksie odkąd pamiętam zawsze robi redaktor/szefu/michael
Tenże Phoronix (autor: pandy | data: 19/01/20 | godz.: 22:02) zauważa jak myślę ważna rzecz - nie jest możliwe wyłączenie patcha (co jest możliwe w wypadku patchy łatających luki na CPU).
@19 (autor: lcf | data: 21/01/20 | godz.: 09:14) NSA tylne wejścia projektuje trzymając się zasady NOBUS ("nobody but us"), czyli w taki sposób, aby bez znajomości pewnego klucza nie można było ich ani wykryć, ani wykorzystać. Te dziury w CPU Intela były możliwe do wykrycia i wykorzystania bez wielkiej filozofii, więc po mojemu raczej zwykłe niedopatrzenie projektantów Intela, niż świadomie i dobrze zaprojektowany backdoor.
Polecam poczytać np. ten artykuł Bernsteina odnośnie NIST P-256 (krzywej używanej do zestawiania większości połączeń TLS), żeby zrozumieć sposoby działania NSA - poza poziomem percepcji większości zjadaczy chleba: https://safecurves.cr.yp.to/rigid.html
Komentarz nr 14... (autor: Majster | data: 21/01/20 | godz.: 17:30) Pio321...
Konkurencji jak konkurencji, ale do swoich własnych i przyszłych procesorów oczywiście też. Już za jakiś czas jak tylko Intel "się wypłacze" z tych wszystkich dziur, to zacznie momentalnie zachwalać najnowsze procesory na różnorakich prezentacjach.
