iMagazine

Meltdown i Spectre – co to jest, o ile wolniejsze będą nasze komputery i czy należy się obawiać?

05/01/2018, 11:10 · · · 7

O Meltdown i Spectre jest głośno w ostatnich dniach – nie bez powodu. Ten zbiór luk w zabezpieczeniach procesorów pozwala na odczyt informacji, do których żaden kod nie powinien mieć dostępu. Dotyczą one też praktycznie wszystkich procesorów na rynku: Intela, AMD, ARM i więcej.

W skrócie, Meltdown i Spectre dają programom dostęp do pamięci, czyli do danych, do których nie powinny mieć dostępu. Działają na różnych zasadach – szczegóły techniczne znajdziecie tutaj – a problem w mniejszym lub większym stopniu dotyczy zdecydowaną większość procesorów w obecnych komputerach, osobistych czy w tzw. chmurze, np. AWS i podobne usługi.

Czy mam się przejmować?

„Zwykły użytkownik” nie powinien z tego powodu panikować, ale warto zadbać o to, żeby wszystkie dostępne łatki były zainstalowane, niezależnie od systemu operacyjnego czy producenta komputera. Zarówno Spectre jak i Meltdown wymagają możliwości uruchomieniu kodu bezpośrednio na atakowanym komputerze, więc jeśli zadbacie o to, żeby nie pobierać i instalować oprogramowania z nieznanych źródeł, to powinniście być bezpieczni.

Niestety, atak można przeprowadzić za pomocą JavaScriptu, czyli za pomocą przeglądarki internetowej. Łatki dla nich już zaczęły się pojawiać – więcej szczegółów poniżej.

Ale co mogą mi ukraść?

Na przykład hasła, ale to tylko jeden przykład, obrazujący jak potencjalnie niebezpieczne są te luki. Generalnie są to ataki read-only, czyli odczytujące informacje z pamięci.

Słyszałem, że łatki spowolnią mi komputer o 63%!

Problem istnieje w procesorach od około 20 lat, a ich wymiana na wolne od wad nie jest technicznie możliwa, chociażby dlatego, że wiązałoby się to w wielu sytuacjach z wymianą komputera. Zostają więc łatki programowe, za pomocą których lepiej oddzielana jest przestrzeń przeznaczona dla programów użytkownika od kerneli systemów operacyjnych. Teoretycznie może to znacząco spowalniać pracę komputera, zależnie od pracy jaką wykonuje i jego obciążenia.

Nie spodziewajcie się aż takich strat wydajności.

Apple

Firma z Cupertino opublikowała dokument, z którego wynika, że każdy Mac i wszystkie urządzenia z iOS, poza Apple Watchem, są dotknięte przez Meltdown i Spectre. Apple twierdzi też, że obecnie „nie ma znanych exploitów dla naszych klientów” – to niebezpieczne twierdzenie, bo powinniśmy się bać właśnie tych nieznanych. W międzyczasie jednak firma wprowadziła łatki dla swoich OS. Zabezpieczone są:

  • iOS 11.2 i nowsze
  • macOS 10.13.2 High Sierra i nowsze
  • tvOS 10.2 i nowsze

W najbliższych dniach ma też pojawić się łatka dla Safari.

Z ich wstępnych testów wynika, że wpływ łatek dla Meltdown nie są policzalne w takich benchmarkach jak Geekbench 4, Speedometer, JetStream czy ARES-6.

Łatka dla Safari, które ma się pojawić, nie ma policzalnego wpływu dla Speedometer i ARES-6, a spadek wydajności dla JetStream wynosi 2,5%.

Microsoft

Pojawiła się seria łatek dla urządzenia z rodziny Surface – Microsoft opublikował wszelkie informacje na ten temat tutaj. Łatki są lub będą dostępne w najbliższym czasie, ponieważ nie wypuszczają ich jednocześnie dla wszystkich klientów.

Sprawdźcie przy okazji Windows Update na swoim PC i upewnijcie się, że KB4056892 jest zainstalowany.

Microsoft opublikował też już łatki dla Internet Explorera i Edge’a – instalujcie je.

Google

Firma twierdzi, że ich metoda Retpoline ma znikomy negatywny wpływ na wydajność. To będzie miało szczególne znacznie dla Google Cloud.

Łatka dla Chrome (wersja 64) będzie dostępna od 23 stycznia.

Mozilla

Firefox 57 jest już załatany, więc powinniście wykonać update ASAP.


Ten artykuł będzie uaktualniany wraz z pojawianiem się nowych informacji.


Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.


Dodaj komentarz

bublik napisał(a):

Hmm… czyli AppleTV 2 oraz iPada 3 mam wyrzucić do kosza?

Alfie napisał(a):

To jest paranoja co oni odstawiają. Wszyscy, choć MS po tym jak wypuścił łatę dla win10 zapowiedział patcha dla 7-8.

A Apple? Nie masz 11 to pa, pa? Noe masz HS to jw? Z ATV to samo?! Powinni nie tylko zrobić patche dla Sierry, Yose i Mav jak najszybciej, ale wyraźnie to zaznaczyć w komunikatach dla klientów. Tylko połowa użytkowanych handheldów @iOS ma 11, spora część jedzie na 10-ce… przecież to powinno być na wczoraj! Z ATV pewnie będzie w grudniu popołudnu o ile w ogóle…

nayma.pl napisał(a):

Ja właśnie od dawien dawna siedzę na El Capitanie bo dla mnie Sierra i High Sierra nie przyniosły nic nowego a tylko komp mi zaczął nieznacznie gorzej chodzić. Póki co nigdzie nawet słowa o łatkach dla Sierry czy El Capitana o starszych nie mówiąc. Apple niestety w moich oczach traci i to bardzo od kilku lat. Jeśli nie wypuszczą odpowiednich łatek na starsze systemy to będzie ich strzał w kolano.

nayma.pl napisał(a):

Tak jeszcze jako ciekawostka to ostatnia łatka bezp. z grudnia poprawia pewne kwestie z możliwością odczytu z jądra informacji. Ale chyba nie jest to łatka ostateczna skoro Apple mówi że bład naprawiono w macOS 10.13.2 High Sierra i nowszych.

https://support.apple.com/pl-pl/HT208331

Damian Nutka napisał(a):

Z tego, co wiadomo do tej pory AMD jest bezpieczne. Jedyne ataki, które udały się do tej pory przeprowadzić nie działają na domyślnej konfiguracji. Jeżeli ktoś nie grzebał w ustawieniach procesora (Google pisze dokładnie o włączeniu ustawień kompilatora eBPF JIT), to nie powinien się raczej niczego obawiać. PÓKI CO ;).

andig89 napisał(a):

To teraz już muszę zaktualizować komputer? I telefon też już muszę zmienić? Super‼️ Klaszczę tyłkiem z zachwytu 😕… Za dni parę okaże się czy wszystkie topowe procki ARM są podatne na atak i ile zwalniają po łatce programowej. A co mam zrobić ze starym MBP? Nie używać tam haseł? Wyrzucić na śmietnik?

Ciekawe ile agencji właśnie przeszukało dane swoich przeciwników, albo od jak dawna to robią. Jedna wielka tragedia 😟.

AN21 napisał(a):

Ten filmik YT to fake co już od dawna opisano na forach IT ale trzeba autorowi przyznać, że miał pomysł jak nabić mnóstwo odsłon

Dbamy o Twoją prywatność

Od dnia 25 maja 2018 r. dostosowujemy naszą działalność do nowego Rozporządzenia Unii Europejskiej o Ochronie Danych Osobowych (RODO).

Zaktualizowaliśmy naszą Politykę Prywatności, aby udzielić Ci bardziej szczegółowych informacji, w jaki sposób iMagazine.pl chroni twoją prywatność, oraz w jaki sposób możesz korzystać ze swoich praw odnośnie danych osobowych.

Kliknij w poniższy link, aby zapoznać się z zaktualizowaną Polityką Prywatności.

Dziękujemy, że jesteś z nami,
redakcja iMagazine

DOWIEDZ SIĘ WIĘCEJ OK