Meltdown i Spectre – co to jest, o ile wolniejsze będą nasze komputery i czy należy się obawiać?

05/01/2018, 11:10 · · · 7

O Meltdown i Spectre jest głośno w ostatnich dniach – nie bez powodu. Ten zbiór luk w zabezpieczeniach procesorów pozwala na odczyt informacji, do których żaden kod nie powinien mieć dostępu. Dotyczą one też praktycznie wszystkich procesorów na rynku: Intela, AMD, ARM i więcej.

W skrócie, Meltdown i Spectre dają programom dostęp do pamięci, czyli do danych, do których nie powinny mieć dostępu. Działają na różnych zasadach – szczegóły techniczne znajdziecie tutaj – a problem w mniejszym lub większym stopniu dotyczy zdecydowaną większość procesorów w obecnych komputerach, osobistych czy w tzw. chmurze, np. AWS i podobne usługi.

Czy mam się przejmować?

„Zwykły użytkownik” nie powinien z tego powodu panikować, ale warto zadbać o to, żeby wszystkie dostępne łatki były zainstalowane, niezależnie od systemu operacyjnego czy producenta komputera. Zarówno Spectre jak i Meltdown wymagają możliwości uruchomieniu kodu bezpośrednio na atakowanym komputerze, więc jeśli zadbacie o to, żeby nie pobierać i instalować oprogramowania z nieznanych źródeł, to powinniście być bezpieczni.

Niestety, atak można przeprowadzić za pomocą JavaScriptu, czyli za pomocą przeglądarki internetowej. Łatki dla nich już zaczęły się pojawiać – więcej szczegółów poniżej.

Ale co mogą mi ukraść?

Na przykład hasła, ale to tylko jeden przykład, obrazujący jak potencjalnie niebezpieczne są te luki. Generalnie są to ataki read-only, czyli odczytujące informacje z pamięci.

Słyszałem, że łatki spowolnią mi komputer o 63%!

Problem istnieje w procesorach od około 20 lat, a ich wymiana na wolne od wad nie jest technicznie możliwa, chociażby dlatego, że wiązałoby się to w wielu sytuacjach z wymianą komputera. Zostają więc łatki programowe, za pomocą których lepiej oddzielana jest przestrzeń przeznaczona dla programów użytkownika od kerneli systemów operacyjnych. Teoretycznie może to znacząco spowalniać pracę komputera, zależnie od pracy jaką wykonuje i jego obciążenia.

Nie spodziewajcie się aż takich strat wydajności.

Apple

Firma z Cupertino opublikowała dokument, z którego wynika, że każdy Mac i wszystkie urządzenia z iOS, poza Apple Watchem, są dotknięte przez Meltdown i Spectre. Apple twierdzi też, że obecnie „nie ma znanych exploitów dla naszych klientów” – to niebezpieczne twierdzenie, bo powinniśmy się bać właśnie tych nieznanych. W międzyczasie jednak firma wprowadziła łatki dla swoich OS. Zabezpieczone są:

  • iOS 11.2 i nowsze
  • macOS 10.13.2 High Sierra i nowsze
  • tvOS 10.2 i nowsze

W najbliższych dniach ma też pojawić się łatka dla Safari.

Z ich wstępnych testów wynika, że wpływ łatek dla Meltdown nie są policzalne w takich benchmarkach jak Geekbench 4, Speedometer, JetStream czy ARES-6.

Łatka dla Safari, które ma się pojawić, nie ma policzalnego wpływu dla Speedometer i ARES-6, a spadek wydajności dla JetStream wynosi 2,5%.

Microsoft

Pojawiła się seria łatek dla urządzenia z rodziny Surface – Microsoft opublikował wszelkie informacje na ten temat tutaj. Łatki są lub będą dostępne w najbliższym czasie, ponieważ nie wypuszczają ich jednocześnie dla wszystkich klientów.

Sprawdźcie przy okazji Windows Update na swoim PC i upewnijcie się, że KB4056892 jest zainstalowany.

Microsoft opublikował też już łatki dla Internet Explorera i Edge’a – instalujcie je.

Google

Firma twierdzi, że ich metoda Retpoline ma znikomy negatywny wpływ na wydajność. To będzie miało szczególne znacznie dla Google Cloud.

Łatka dla Chrome (wersja 64) będzie dostępna od 23 stycznia.

Mozilla

Firefox 57 jest już załatany, więc powinniście wykonać update ASAP.


Ten artykuł będzie uaktualniany wraz z pojawianiem się nowych informacji.



7

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.