Kolejna luka w procesorach Intela - poprawki mogą je spowolnić

Intel w ostatnich miesiącach zdecydowanie nie ma łatwego życia. Najpierw sieć obległa wiadomość o lukach bezpieczeństwa w jednostce Intel Management Engine, odpowiadającej za komunikację pomiędzy procesorem i innymi urządzeniami. Ze względu na to, że IME działa praktycznie poza jakąkolwiek kontrolą systemu operacyjnego, wszelkie luki bezpieczeństwa tam odkryte mogą mieć naprawdę nieprzyjemne konsekwencje. Jakby tego było mało, teraz ponownie odkryto zagrożenie. Tyczy się ono zarówno komputerów z zainstalowanym systemem Windows, jak również Linux. Na tej drugiej platformie odpowiedni patch zabezpieczający zaczął już być dystrybuowany. Niestety jego działanie może istotnie wpłynąć na wizerunek procesorów Intela, bowiem jego całkowita skuteczność wymaga obniżenia wydajności CPU nawet o 30 procent. Szykują się ciężkie dni dla firmy.

Nowo-odkryta luka w zabezpieczeniach procesorów Intel powoduje łatwy dostęp zwykłych programów do zawartości chronionej w pamięci jądra systemu operacyjnego (Kernel). Niestety łatka, która zostanie wydana w najbliższym czasie na systemy Windows, najprawdopodobniej spowoduje obniżenie wydajności procesorów Intel.

O co dokładnie chodzi z odkrytą luką bezpieczeństwa w procesorach Intela? Okazuje się, że pozwala ona na "nielegalny" dostęp zwykłym programom do całej zawartości chronionej w pamięci jądra systemu operacyjnego (tzw. Kernel). W sieci pojawiły się informacje, jakoby wspomniana luka mogła poważnie zagrozić bezpieczeństwu firmom korzystających z wirtualnych środowisk. Mowa tutaj m.in. o Google i jego Google Compute Engine czy Amazon i jego Amazon EC2 (Amazon Elastic Compute Cloud). Aby zablokować lukę, konieczne jest nałożenie na procesor dodatkowego płaszcza zabezpieczającego w postaci implementacji rozwiązania o nazwie Page Table Isolation (PTI). Jej głównym działaniem jest sprawienie, że Kernel stanie się niewidoczny dla aktywnych procesorów. Wydawałoby się, że wprowadzenie odpowiedniej łatki zabezpieczającej rozwiąże ten problem. Okazuje się, że patch może jeszcze bardziej namieszać.

Łatka wprowadzająca Page Table Isolation może istotnie wpłynąć na wydajność procesora. Spadki sięgają nawet 30 procent.

Otóż nałożenie wspomnianego płaszcza w postaci Page Table Isolation doda tak naprawdę dodatkowe obciążenie dla procesora. Skutkiem ubocznym naprawy luki będzie więc obniżenie wydajności praktycznie wszystkich procesorów opartych o architekturę x86 wydanych w ciągu ostatniego dziesięciolecia. O ile trudno przewidzieć faktyczne działanie na systemie Windows, bowiem tutaj łatka bezpieczeństwa powinna pojawić się w ciągu nadchodzącego tygodnia, o tyle nieco klarowniej wygląda to w przypadku Linuxa. Tam bowiem patch zaczął już być dystrybuowany, wobec czego sprawdzono wydajność na procesorach Intel Core i7-6800K oraz Intel Core i7-8700K. W obliczeniach dużych partii danych, spadek na obydwu jednostkach CPU wynosi średnio 18%. Najwyraźniej więc luka musi być na tyle poważna, że amerykański gigant gotowy jest obniżyć wydajność swoich produktów, przynajmniej w niektórych zastosowaniach. Trudno przewidzieć, czy będzie jakaś różnica np. w grach, obróbce filmów czy kompresowaniu/dekompresowaniu. Z pewnością w najbliższym czasie pojawią się testy, które dadzą jasną odpowiedź na to pytanie.

Jak wspomniałem, łatka bezpieczeństwa może negatywnie wpływać na wydajność wszystkich procesorów opartych o architekturę x86. Spadki mogłyby więc, przynajmniej w teorii, dotknąć także użytkowników CPU od AMD. Firma z Sunnyvale dała jednak jasno do zrozumienia, że najnowsze procesory są na tyle dobrze chronione, że nie dotyczy ich problem z nieautoryzowanym dostępem do pamięci jądra systemu operacyjnego. Na wszelki wypadek jednak zastrzega, aby nie instalować wspomnianej łatki bezpieczeństwa na urządzeniach opartych o procesory AMD. Kto wie, czy w najbliższym czasie Ryzeny nie będą wypadać jeszcze korzystniej od Intela.