Hvordan påvirker smelte- og spektretfejl min pc?
Computerprocessorer har en massiv designfejl, og alle er scrambling for at ordne det. Kun et af de to sikkerhedshuller kan patches, og patcherne vil gøre pc'er (og Mac'er) med Intel chips langsommere.
Opdatering: En tidligere version af denne artikel sagde, at denne fejl var specifik for Intel-chips, men det er ikke hele historien. Der er faktisk to Større sårbarheder her, nu kaldet "Meltdown" og "Specter". Meltdown er stort set specifik for Intel-processorer og påvirker alle CPU-modeller fra de sidste par årtier. Vi har tilføjet flere oplysninger om disse to fejl, og forskellen mellem dem, til artiklen nedenfor.
Hvad er smeltning og spektrum?
Specter er en "grundlæggende designfejl", der findes i alle CPU'er på markedet - herunder dem fra AMD og ARM samt Intel. Der er i øjeblikket ingen software fix, og det vil sandsynligvis kræve et komplet hardware redesign til CPU'er på tværs af bordet - men heldigvis er det ret vanskeligt at udnytte, ifølge sikkerhedsforskere. Det er muligt at beskytte mod specifikke Specter-angreb, og udviklere arbejder på det, men den bedste løsning vil være et CPU hardware redesign for alle fremtidige chips.
Meltdown gør i grunden Specter værre ved at gøre kernen underliggende fejl meget lettere at udnytte. Det er i det væsentlige en ekstra fejl, der påvirker alle Intel-processorer, der er lavet i de sidste par årtier. Det påvirker også nogle avancerede ARM Cortex-A processorer, men det påvirker ikke AMD chips. Meltdown bliver patched i operativsystemer i dag.
Men hvordan fungerer disse fejl?
Programmer, der kører på din computer, kører med forskellige niveauer af sikkerhedsrettigheder. Operativsystemkernen - Windows-kernen eller Linux-kernen, for eksempel - har det højeste tilladelsesniveau, fordi det kører showet. Desktop-programmer har færre tilladelser, og kernen begrænser, hvad de kan gøre. Kernen bruger processorens hardwarefunktioner til at hjælpe med at håndhæve nogle af disse begrænsninger, fordi det er hurtigere at gøre det med hardware end software.
Problemet her er med "spekulativ udførelse". Af udførelsesmæssige årsager kører moderne CPU'er automatisk de instruktioner, som de tror, de måtte have brug for at køre, og hvis de ikke gør det, kan de simpelthen spole tilbage og returnere systemet til sin tidligere tilstand. En fejl i Intel og nogle ARM-processorer tillader imidlertid, at processer kører operationer, som de normalt ikke ville kunne køre, da operationen udføres, før processoren plager at kontrollere, om det skal have tilladelse til at køre det eller ej. Det er Meltdown bug.
Kerneproblemet med både Meltdown og Specter ligger inden for CPU'ens cache. En applikation kan forsøge at læse hukommelsen, og hvis den læser noget i cachen, fuldføres operationen hurtigere. Hvis det forsøger at læse noget, der ikke er i cachen, vil det fuldføre langsommere. Ansøgningen kan se, om noget færdiggøres hurtigt eller langsomt, og mens alt andet under spekulativ udførelse ryddes op og slettes, kan den tid det tog for at udføre operationen ikke skjules. Det kan derefter bruge disse oplysninger til at opbygge et kort over alt i computerens hukommelse, en gang ad gangen. Caching hurtigere tingene op, men disse angreb udnytter denne optimering og gør det til en sikkerhedsfejl.
Så i værste fald kan JavaScript-kode, der kører i din webbrowser, effektivt læse hukommelse, som den ikke skal have adgang til, som f.eks. Privat information, der holdes i andre applikationer. Cloud-udbydere som Microsoft Azure eller Amazon Web Services, der er vært for flere forskellige virksomheders software i forskellige virtuelle maskiner på samme hardware, er særligt i fare. En persons software kunne i teorien spionere på ting i en anden virksomheds virtuelle maskine. Det er en sammenbrud i adskillelsen mellem applikationer. Patcherne til Meltdown betyder, at dette angreb ikke bliver så nemt at trække af. Desværre betyder at disse ekstra checks på plads betyder nogle operationer vil være langsommere på den berørte hardware.
Udviklere arbejder på software-patches, der gør Specter-angreb vanskeligere at udføre. For eksempel hjælper Google Chrome's nye Site Isolation-funktion med at beskytte mod dette, og Mozilla har allerede lavet nogle hurtige ændringer i Firefox. Microsoft har også lavet nogle ændringer for at beskytte Edge og Internet Explorer i Windows Update, der nu er tilgængelig.
Hvis du er interesseret i detaljerne om lavt niveau om både Meltdown og Specter, skal du læse den tekniske forklaring fra Googles Project Zero-team, der opdagede fejlene sidste år. Mere information er også tilgængelig på MeltdownAttack.com hjemmeside.
Hvor meget langsommere vil min pc være?
Opdatering: Den 9. januar frigav Microsoft nogle oplysninger om udførelsen af patch. Ifølge Microsoft viser Windows 10 på 2016-æra pc'er med Skylake, Kabylake eller nyere Intel-processorer "single-cifret slowdowns", som de fleste brugere ikke bør bemærke. Windows 10 på 2015-æra pc'er med Haswell eller en ældre CPU kan se større afmatninger, og Microsoft "forventer, at nogle brugere vil se et fald i systemets ydeevne".
Windows 7 og 8 brugere er ikke så heldige. Microsoft siger, at de "forventer de fleste brugere at opleve et fald i systemets ydeevne", når de bruger Windows 7 eller 8 på en 2015-æra-pc med Haswell eller en ældre CPU. Windows 7 og 8 bruger ikke kun ældre CPU'er, der ikke kan køre patchen så effektivt, men "Windows 7 og Windows 8 har flere brugerkernelovergange på grund af gamle designbeslutninger, som f.eks. Alle skrifttypegengivelser, der finder sted i kernen" , og det går også langsomt ned.
Microsoft planlægger at udføre sine egne benchmarks og frigive flere detaljer i fremtiden, men vi ved ikke præcis, hvor meget Meltdown's patch vil påvirke den daglige pc brug endnu. Dave Hansen, en Linux-kerneudvikler, der arbejder på Intel, skrev oprindeligt, at ændringerne i Linux-kernen vil påvirke alt. Ifølge ham ser de fleste arbejdsbyrder en enkeltcifret opbremsning, med en omtrent 5% afmatning, der er typisk. Det værste tilfælde var en nedgang på 30% på en netværksprøve, selvom det varierer fra opgave til opgave. Disse er tal for Linux, så de er ikke nødvendigvis gældende for Windows. Opløsningen forsinker systemopkald, så opgaver med mange systemopkald, som at kompilere software og køre virtuelle maskiner, vil sandsynligvis bremse mest. Men hvert stykke software bruger nogle systemopkald.
Opdatering: Fra den 5. januar har TechSpot og Guru3D udført nogle benchmarks for Windows. Begge websteder konkluderede, at stationære brugere ikke har meget at bekymre sig om. Nogle pc-spil ser en lille nedgang på 2% med patchen, som ligger inden for fejlmarginen, mens andre synes at udføre identisk. 3D-gengivelse, produktivitetssoftware, filkomprimeringsværktøjer og krypteringsværktøjer virker upåvirket. Imidlertid viser fillæsnings- og skrivestandarder mærkbare forskelle. Hastigheden for hurtigt at læse en stor mængde små filer faldt omkring 23% i Techspots benchmarks, og Guru3D fandt noget lignende. På den anden side fandt Tom's Hardware kun et gennemsnitligt fald på 3,21% i performance med en forbrugerapplikation opbevaringstest og hævdede, at de "syntetiske benchmarks", der viser mere betydelige fald i hastighed, ikke repræsenterer den virkelige verden.
Computere med en Intel Haswell-processor eller nyere har en PCID-funktion (Process-Context Identifiers), der hjælper patchen med at fungere godt. Computere med ældre Intel-CPU'er kan se et større fald i hastigheden. Ovennævnte benchmarks blev udført på moderne Intel CPU'er med PCID, så det er uklart, hvor ældre Intel CPU'er vil udføre.
Intel siger, at afmatningen "ikke burde være betydelig" for den gennemsnitlige computerbruger, og indtil videre ser det ud til at være sandt, men visse operationer ser en afmatning. For skyen, sagde Google, Amazon og Microsoft stort set det samme: For de fleste arbejdsbyrder har de ikke set en meningsfuld præstationspåvirkning, efter at de har rullet ud af patcherne. Microsoft sagde, at "et lille sæt af [Microsoft Azure] kunder kan opleve en vis netværksydelse ydeevne." Disse udsagn giver plads til nogle arbejdsbyrder for at se betydelige afmatninger. Epic Games skylden Meltdown patch for at forårsage server problemer med sit spil Fortnite og udgav en graf, der viser en enorm stigning i CPU-brugen på dens sky servers, efter at lappen blev installeret.
Men en ting er clear: Din computer bliver bestemt ikke hurtigere med denne patch. Hvis du har en Intel CPU, kan den kun blive langsommere - selvom den er lille.
Hvad skal jeg gøre?
Nogle opdateringer til at løse problemet Meltdown er allerede tilgængelige. Microsoft har udgivet en nødopdatering til understøttede versioner af Windows via Windows Update den 3. januar 2018, men det har ikke gjort det til alle pc'er endnu. Windows Update, der løser Meltdown og tilføjer nogle beskyttelser mod Specter, hedder KB4056892.
Apple patched allerede problemet med macOS 10.13.2, udgivet den 6. december 2017. Chromebooks med Chrome OS 63, som blev udgivet i midten af december, er allerede beskyttet. Patches er også tilgængelige for Linux-kernen.
Derudover skal du kontrollere, om din pc har BIOS / UEFI-opdateringer til rådighed. Mens Windows-opdateringen fastsatte Meltdown-problemet, er CPU-mikrokodopdateringer fra Intel, der leveres via en UEFI- eller BIOS-opdatering, nødvendige for at aktivere beskyttelse mod et af Specter-angrebene fuldt ud. Du skal også opdatere din webbrowser - som normalt - da browsere tilføjer nogle beskyttelser mod Specter.
Opdatering: Den 22. januar meddelte Intel, at brugerne skulle stoppe med at implementere de oprindelige UEFI-firmwareopdateringer på grund af "højere end forventede genstarter og anden uforudsigelig systemadfærd". Intel sagde, at du skulle vente på en endelig UEFI-firmware-patch, der er blevet korrekt testet og ikke vil medføre systemproblemer. Fra den 20. februar har Intel udgivet stabile mikrokod opdateringer til Skylake, Kaby Lake og Coffee Lake-det er den 6, 7 og 8 generation Intel Core platforme. PC-producenter skal snart begynde at udbrede nye UEFI-firmwareopdateringer.
Selvom et præstations hit lyder dårligt, anbefaler vi stærkt at installere disse patches alligevel. Operativsystemudviklere ville ikke foretage sådanne massive ændringer, medmindre dette var en meget dårlig fejl med alvorlige konsekvenser.
Den pågældende software patch vil afhjælpe Meltdown fejlen, og nogle software patches kan hjælpe med at afbøde Specter fejlen. Men Specter vil sandsynligvis fortsætte med at påvirke alle moderne CPU'er - i hvert fald i en eller anden form - indtil ny hardware frigives for at rette op. Det er uklart, hvordan producenterne håndterer dette, men i mellemtiden er alt du kan gøre, fortsæt med at bruge din computer - og tag trøst i, at Specter er vanskeligere at udnytte, og noget mere bekymrende for cloud computing end slutbrugere med stationære pc'er.
Billedkredit: Intel, VLADGRIN / Shutterstock.com.