Intelin prosessoreista on löytynyt merkittävä suunnitteluvirhe ja tietoturvauhka, joka vaatii käyttöjärjestelmiltä kernelitason päivitystä. Vaikka ongelma havaittiin vasta nyt, se on olemassa kaikissa Intelin moderneissa prosessoreissa.
Intelin prosessoreista löytyvä bugi aiheuttaa parhaillaan päänvaivaa kehittäjille. Rautatason ongelma on niin vakava, ettei sitä voida tämänhetkisten tietojen mukaan korjata esimerkiksi mikrokoodipäivityksellä, vaan se vaatii käyttöjärjestelmien päivityksen kernelitasolla ongelman kiertämiseksi.
Toistaiseksi ongelman tarkka kuvaus on vielä salaista tietoa, mutta io-techin toimituksen tietojen mukaan kyse on tavasta, jolla Intelin prosessorit käsittelevät virtuaalimuistia, mikä voi johtaa suojatun kernelimuistin tietojen vuotamiseen käytännössä minkä tahansa ohjelman avustuksella. Ongelman korjaukseksi käyttöjärjestelmien on otettava käyttöön Kernel Page Table Isolation -ominaisuus eli PTI, joka eristää kernelimuistin täysin käyttäjätason muistiavaruudesta. Korjaus on näennäisesti ehkä yksinkertaisen kuuloinen, mutta todellisuudessa se on merkittävä muutos ja voi hidastaa useita toimintoja huomattavasti. Jotain korjauksen luonteesta kertonee myös se, että The Registerin mukaan Linux-kehittäjät kutsuivat bugin korjausta yhdessä välissä nimellä Forcefully Unmap Complete Kernel With Interrupt Trampolines, eli lyhyesti FUCKWIT.
Vaikka ongelman tarkka kuvaus on edelleen salainen, AMD:n Tom Lendackyn viesti Linux-kernelin kehittäjien mailiketjuun vihjaa, että ongelma olisi tavassa jolla Intelin prosessorit ennakoivat tulevia tehtäviä nopeuttaakseen toimintaansa. Ilmeisesti näissä tapauksissa saatetaan jättää turvatarkistukset väliin, jolloin ennakkoon suoritettava komento saattaa päästä lukemaan esimerkiksi kernelimuistia vaikkei sillä pitäisi olla mitään asiaa korkeampia oikeuksia vaativiin muistiosoitteisiin. AMD:n prosessoreissa tätä ei pääse tapahtumaan, vaan ne estävät esimerkiksi käyttäjätason prosessien pääsyn korkeampia oikeuksia vaativiin tietoihin myös ennakoivan suorituksen osalta. Samaan viittaa myös tietoturvaekspertti Anders Foghin aiemmat testit asian tiimoilta.
Linux-puolella on saatu jo julki ensimmäinen päivitys, jonka on tarkoitus korjata ongelma Intelin raudalla. Ongelmattomasta päivityksestä ei voida puhua, sillä tällä hetkellä päivitys pakottaa PTI:n käyttöön myös AMD:n prosessoreilla, vaikkei ongelma koske niitä lainkaan. Tämän myötä suorituskykyongelmat koskevat kyseisellä päivityksellä myös AMD:n prosessoreita.
Korjaus vaikuttaa kokoonpanon suorituskykyyn eniten raskaissa I/O-tehtävissä eli kotikäyttäjien ei tarvinne olla niistä huolissaan. Phoronixin alustavien testien mukaan Linux-alustalla esimerkiksi pelisuorituskyvyssä ei ole nähty eroa ennen ja jälkeen päivityksen.
Datakeskuksissa tilanne on kuitenkin toinen ja The Registerin raportin mukaan keskimääräinen suorituskykytappio synteettisissä testeissä saattaisi olla jopa 5 – 30 prosenttia, mutta sivusto ei tarjoa väitteelle lähdettä tai todisteita. AnandTechin Ian Cutressin mukaan ensimmäiset todelliset tulokset puhuvat alle puolen prosentin erosta. Phoronixin ajamat tiedostojärjestelmää rasittavat testit puhuvat myös sen puolesta, että tietyissä tehtävissä erot voivat olla erittäin suuria.
Windows-puolella ainakin alustavan päivityksen julkaisun odotetaan tapahtuvan seuraavan Patch Tuesdayn yhteydessä eli vajaan viikon kuluttua 9. tammikuuta. Myös Applen macOS-käyttöjärjestelmä tulee tarvitsemaan päivityksen, mutta sen aikataulusta ei ole toistaiseksi tietoa.
Lähteet: The Register & Reddit
Ja kuinkas vanhoja prossuja tämä bugi mahtaa koskea? ”Intelin prosessorit” kattaa aika laajan skaalan tietotekniikan historiaa.
On kyllä kätevä tapa taas myydä uutta tuotetta 50% suorituskykyhyppyä mainostaen. Melko pitkällä tähtäimellä Intel suunnitellut tätä myynnin edistämistä kun aika vanhojakin vehkeitä koskee, kivasti saa näitä vanhempiakin ajelevia painostettua ostamaan uutta nopeaa (kallista)…
Joka paikassa löydän vaan tekstin ”past decade”, mutta tarkkaa ajankohtaa en löydä. Melkein voisi sanoa että kaikkia, kun luulisi vanhemman Intelin omistavien olevan häviävän pieni käyttäjäkunta.
Jossakin c2d alkaen luokkaa 2006 , eli käytännössä kaikkia
Ilmeisesti tosi pahasta viasta kyse ku intelin pomo meni myymää kaikki ylimääräset osakkeet enne julkistamista.
Ja tämähän ei sitten vaikuta ollenkaan epäilyttävältä sisäpiiritiedon väärinkäytöltä. 😀
Jossain sanottiin, että edellinen Intelin suoritin, jossa ei varmasti ole k.o. bugia on alkuperäinen Pentium.
Tais nousta mun Pentiumeiden arvo 😀 tai sitten ei
Ja saattaa olla osa syy kiirehdittyyn uusien mallien julkaisuun. Jos olisi julkaistu nyt uudet mallit, olisi myynti sakannu.
Ei ole mahdotonta että Intel on maksanut jukistuksen viivästyksestä tälle vuodelle.
BBS-viestiketju jäi alkuksi puuttumaan, tässä vielä kommentit uutisen puolelta:
Olisitte voineet myls mainita tuosta intelin CEOsta joka myi osakkeensa joulukuun lopussa kiireesti alle markkinahinnan. 😀
Varmaa tietoa ei ole, mutta ainakin kaikkia Core i -sarjasta lähtien
ARM vain käyttöön ja x86 pois maailmasta, niin paljon pahaa aiheuttanut julkaisusta lähtien.
Nyt hieman noottia tästä uutisoinnista.
Uutinen on sinällään kirjoitettu ihan asiantuntevasti, mutta tässä nyt skipattiin aika totaalisesti se mikä on se koko ongelma.
Yrittämällä yritin löytää tekstistä sitä kohtaa missä mainitaan, että kyseessä on vakava tietoturvauhka, mutta ei kyllä omiin silmiin iskenyt.
Ainoa asia missä puhuttiin tietoturvasta on yhden ekspertin toimenkuva.
Vähän nyt tsemppiä toimituksessa, kyllä teidän tietotaidoilla pitäisi saada aikaiseksi uutinen missä selvästi jopa selitetään mikä ongelma siinä kernelimuistiin käsiksi pääsemisessä onkaan.
”This small patch, to the Linux Kernel, is the most epic burn on @intel by @AMD.
Paraphrased in English:
"If the CPU isn't AMD, assume it's not secure."”
https://t.co/AfHnlpYta3
Minä en paljoa tiedä prosessorien suunnittelusta, mutta tämmöinen kuulostaa taas melkoiselta räpellykseltä. Sisäpiirikaupasta myös "pisteet", jos niin tosiaan pääsi tapahtumaan.
Suorituskyky on vähän perässä. Power(9) voisi olla ihan mielenkiintoinen vaihtoehto myös, jos niitä lähdetään spekuloimaan.
Kaikki käyttämään Gemini Lakea 😀
Yritetään pysyä asialinjalla ja keskittyä olennaiseen, osakekaupat saattaa liittyä asiaan tai ei, mutta niitä kuitenkin valvoo Yhdysvalloissa viranomaiset ja jos todetaan, että on taustalla jotain hämärää niin varmasti tutkitaan.
Tässä iltalehden otsikkotason tulkinta asiasta:
Intelin suorittimissa vakava suunnitteluvirhe – tuleva päivitys voi hidastaa konettasi huomattavasti
Intelin suorittimissa vakava suunnitteluvirhe – tuleva päivitys voi hidastaa konettasi huomattavasti
:bored::D:rofl:
No. oli siellä tarkennettukin
…
On mahdollista, että yksittäiskäyttäjille muutokset eivät näyttäydy kovinkaan rajuina, mutta pilvipalveluja tarjoavat Amazon, Google ja Microsoft voivat kokea kovan iskun, sillä ne perustuvat Intelin suorittimiin.
…
Windows insider käyttäjät saaneet beta päivityksen jo testiin?
Eiköhän se bugi löydy siitäkin
Samalla linjalla eli klikkiotsikointia harrastaa myös IS:
Tietokoneesi todennäköisesti hidastuu pian – ellet kuulu pieneen vähemmistöön
Tietokoneesi todennäköisesti hidastuu pian – ellet kuulu pieneen vähemmistöön
Hidastellaan vähän nykyisiä niin käypi uudet paremmin kaupaksi.
Joo tuskinpa vuoteen tullaan näkemään "secure intel cpu":ta. 😀
Intel redditissä myös mielenkiintoista luettavaa näiden kommenttien lisäksi:
"I would not want to be Intel rep at CES next week" 😉
Intel redditissä myös mielenkiintoista luettavaa näiden kommenttien lisäksi:
"I would not want to be Intel rep at CES next week" 😉
Eli Intel on tiennyt ongelmasta jo heinäkuussa?
Negative Result: Reading Kernel Memory From User Mode
Eli Intel on tiennyt ongelmasta jo heinäkuussa?
Negative Result: Reading Kernel Memory From User Mode
No siellä sentään lukee selvästi toisella rivillä "Intelin suorittimien suunnitteluvirhe voi altistaa tietomurroille." Jotain mitä Io-Tech ei ole saanut koko omaan tekstiinä kirjoitettua. Klikkiotsikko ehkä, mutta jo toinen lause kertoo oleellisen.
Voidaankohan tämä FUCKWIT-gate tulkita suunnitelluksi vanhentamiseksi?
Ei. Edes Intel ei tekisi moista virhettä. Tämän paljastuminen tietää "pikkuisen" ongelmia siniseen leiriin.
Mielestäni aivan oikea otsikko, juuri noin tulee käymään.
IO-tech ensimmäinen lause:
Täällä suuri osa käyttäjistä ymmärtää ettei kernelivuodot ole hyvästä ja että kyseinen vuoto olisi todella iso tietoturvauhka. Voisihan sen tietoturvan toki mainita, mutta sivun idea on olla vähän edistyneemmille. 🙂
Ja siksi eräs asia myöhästyi kuukauden verran D:
Uutisen ingressissä tosiaan ensimmäisesäs lauseessa tuo "mahdollistaa kernelimuistin tietojen vuotamisen", mutta lisäsin myös leipätekstiin, jotta tulee varmasti selväksi.
katso liitettä 68486
katso liitettä 68487
Näin.
Eilen katoinkin ku asiasta ekaa kertaa kuulin, että AMD:n osakkeet lähti rajuun nousuun 😀
Tässä tapauksessa ongelma ei ole tietomurto, vaan että korjaus on kohtuullisen monimutkainen, niin asiaa käsitellään hidastumisena enemmän kuin murto ongelmana.
Tuo korjaus kuitenkin hidastaa jatkuvaa suoritusta, mutta on hyvin pieni todennäköisyys että tietomurto tapahtuisi tuota kautta.
Jossakin oli maininta että tavallinen käyttäja törmää ongelmaan selaimessa javascriptin yhteydessä, onko muita riski ohjelmia?
Ei. Pikemminkin sisäisen laadunvalvonnan pettämisestä on kysymys.
Nyt: AMD +6,65%, Intel -2,03%
Illalla voi olla paljon suuremmatkin erot
"PS: It appears 64-bit ARM Linux kernels will also get a set of KAISER patches, completely splitting the kernel and user spaces, to block attempts to defeat KASLR. We'll be following up this week."
@ 'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign • The Register
Eli liekkö se ruoho sen vihreämpää silläkään puolella. 😀
Kaskas, kun rytzonin ostin, se vaikuttaa päivä päivältä paremmalta valinnalta.
Raspi ainakin toimii kuin ennenkin 😀
Minä uskallan väittää ettei tätäkään palstaa käyttävistä tuo lause todellakaan kaikille tai edes suurelle osalle automaattisesti sitä tarkoita. Niille jotka tietää koneiden sielunmaisemasta enemmän, toki se tarkoittaa sitä. Ei se kai kuitenkaan tarkoita ettei se uutinen voisi olla sellainen, että siinä yksinkertaisesti ilmaistaan niitä lähtökohtia, kuten se nyt muokattuna niin tekee ja sitten kohdistetaan niille joita asiat oikeasti kiinnostaa, sitä syvällisempää ja asiantuntevampaa materiaalia. Minä en todellakaan pidä itseäni minään kaikkien tietokone asioiden asiantuntijana, vaikka aika kauan näiden kanssa tuhertanut. Silti täältä nimen omaan löytyy juttuja kun mennään sellaisille tasoille ettei minulla ole mitään hajua mistä on kyse. Sehän on io-techin vahvuus, asiantuntijoilta niille joita oikeasti kiinnostaa. Se ei automaattisesti tarkoita että se vastaanottaja on juuri sen asian asiantuntija ja automaattisesti ymmärtää kaiken termistön asian taustalla.
Itse kyllä epäilen tuota js vuotoa. Voi olla aika vaikeasti hyödynnettävä ongelma, mutta silti hyödynnettävissä. Varsinkin jaetuissa järjestelmissä iso riski.
Monessa paikassa on todettu, että uudemmat prosessorit joissa on PCID-tuki, kärsisivät bugista vähemmän, mutta missään ei kerrottu mitä "uudempi" tässä yhteydessä tarkoittaa. Nyt kun googlailin asiaa, niin ilmeisesti PCID on ollut Inteleissä jo Westmerestä, eli vuonna 2010 julkaistusta Sandy Bridgen edeltäjästä asti:
Uskallan väittää että tietoturva uhka ei ole niin suuri kuin annetaan ymmärtää, koska on ollut olemassa n.12 vuotta
Käsittääkseni javascript oli vain yksi esimerkki ja periaatteessa ihan mikä tahansa ohjelma voi olla uhka
Ilmeisesti ainakaan kaikissa backportatuissa pätseissä ei tulla hyödyntämään PCID:tä uudellakaan raudalla
LKML: Linus Torvalds: Re: Linux 4.15-rc6
Melkein mieluusti estäisi pätsin niin ei heikkene suorituskyky. Saa nähdä erottuuko pätsi muista kun tulee.
Periaatteessa kaikki IO-intensiiviset taskit voivat ottaa hittiä, samoin kaikki monisäiesovellukset, joissa on paljon säikeiden välistä synkronointia.
Tietokannat näyttäisivät olevan yksi pahiten kärsivistä, mutta joku kryptolouhinta voi ottaa isosti osumaa myös.
No mikäli uhkaa ei olisi, niin eihän tätä koko paikkausta tarvitsisi suorittaa. Siitähän tässä on kyse, että kyseessä on tietoturvauhka. Eli vaikka joku javascript joka on nettisivulla voisi päästä käsiksi koneen kernelin välimuistissa oleviin tietoihin ja sieltä kalastella kaiken mahdollisen salasanoista ja käyttäjätunnuksista lähtien. Ei sitä korjattaisi jos se ei olisi rikki. Se että korjaus on monimutkainen ei käsittääkseni poista juurisyytä? Eikä se syy ole mikään muu kuin se tietoturva.
Windows pakottaa, laittaa jonkun päivityksen kanssa samaan eikä jaa tietoja kun vasta myöhemmin.
Mitä jos se vaikuttaa esim johonkin firestrike total scoreen?
Ei tule kukaan rikkomaan ennätyksiä vähään aikaan jos sieltä otetaan se 30% pois.
Siihen taitaa olla hyvä syy, vai mitä mieltä olet? Linux patchin kommentitkin piilotettu, jotta vaikeampi hyväksikäyttää. 🙂