A modern Intel processzorok súlyos tervezési hibával terheltek, derült ki a The Register beszámolójából. Ennek következtében ártó szándékkal összerakott programok a CPU-t tartalmazó eszközön futó operációs rendszer kernelmemóriájának védett területeit is képesek lehetnek kiolvasni. Ezzel pedig az összes érzékeny, védettnek gondolt információ, például jelszavak is kiszivároghatnak.

Mint üveges tótnak a hanyatt esés

Tekintve, hogy ez a hiba az Intel x86-64 lapkáiba hardveresen kódolt, ezért operációs rendszer szinten kell javítani a sérülékenységet. A Windows, a Linux és a MacOS is érintett, vagyis minden nagy platform fejlesztőjének meg kell mozdulnia. Mégpedig nagyon gyorsan; a következő hetekben ezért várhatóan minden nagyobb OS-hez ki fognak adni biztonsági frissítéseket (a pingvines platformokra már meg is érkezett az első adag). Addig is, hogy csökkentsék a sebezhetőség hatását, a memóriaszivárgási hiba technikai részleteit nem közölték a nyilvánossággal.

Ennek ellenére a javítások megérkeztéig előfordulhat, hogy akár egy olyan egyszerű elem, mint egy weboldalon futó JavaScript vagy egy felhőben hostolt malware, ellenőrzést szerezhet a legérzékenyebb adatok felett egy Intel chipet tartalmazó eszközben.

Ráadásul nagyon azután sem örülhetünk, miután megjelent és telepítettük a vonatkozó patch-et. Ez a kvázi patkolás ugyanis a felhasználói folyamatokat kerülőútra kényszeríti a kernelmemória elérésekor, ami jelentős teljesítményvesztéssel jár. Becslések szerint valahol 5-30 százalék közötti lassulással kell számolni, az adott feladattól és az érintett processzortól függően. Ez pedig az elmúlt időszakban nagyon belassuló fejlődést akár szó szerint is lenullázhatja.

KPTI

Az úgynevezett Kernel Page Table Isolation patch-ek a rendszermagot egy teljesen elkülönített térbe kényszerítik. Így nem csak láthatatlanná válik a futó folyamatok előtt, hanem egyszerűen elérhetetlenné válik számukra. Az izoláció hátránya, hogy nagyon időigényes a két különálló címtér közötti váltogatás minden egyes, a hardvertől érkező rendszerhívás és megszakítási kérelem során. A változás arra kényszeríti a processzort, hogy dobja a gyorsítótárban levő adatokat és újratöltse azokat a memóriából. Ez könnyen belátható módon csökkenti az összteljesítményt.

Mint említettük, a lassulás mértéke részben attól függ, milyen feladatot futtat az érintett lapka. Könnyen lehet, hogy az átlagfelhasználó számára a saját számítógépe(i) esetében marginális lesz csak a hatás. Annál fájóbb lehet a javítás következménye a nagyvállalati rendszerekre, például a számítási felhőre támaszkodó szolgáltatók esetében. Csekély vigasz, hogy a rohamtempóban készülő frissítések után egy alaposabb, jobban átgondolt patch mérsékelheti a teljesítmény-visszaesés mértékét.

Az első felmérések szerint leginkább azok az elterjed virtualizációs környezetek fogják megszenvedni a hiba létét, melyeket például az Amazon EC2 vagy a Compute Engine használ.

Van még egy feketeleves

Mihelyst biztonságban leszünk a hibától, és megérkeznek a teljesítményt kevésbé visszafogó frissítések is, nyugodtan hátradőlhetünk, gondolhatjuk. Tévesen. Könnyen lehet ugyanis, hogy ez még csupán a jéghegy csúcsa.

Gondoljunk csak bele, hogy ha ez az egyetlen sebezhetőség annyira mélyen el volt temetve az Intel processzoraiban, hogy tíz év kellett a felfedezéséhez, akkor mennyi hasonló rejtett akna lapulhat még a szilícium sötét sarkaiban. A bizalom pedig mindenképpen meginog az Intel irányában, és ennek helyreállítása nem lesz egyszerű feladat. Különösen úgy, hogy alig fél év telt el azóta, hogy beszámoltunk egy másik, szintén az Intelt érintő hardveres hibáról.

Az AMD viszont örülhet. A kisebbik processzorfejlesztő CPU-it ugyanis nem érinti a most felfedezett biztonsági hiányosság.