Alfonso Maruccia

Intel, CPU col baco

Un grave bug di sicurezza mette a rischio gli utenti di PC basati su CPU Intel, soprattutto in ambito virtualizzazione. La patch, in arrivo, potrebbe peggiorare in maniera sensibile le prestazioni. AMD? Gongola: noi immuni

Roma - I ricercatori hanno individuato una vulnerabilità di sicurezza di particolare gravità, un problema che riguarda tutti i processori x86 prodotti da Intel nell'ultima decade e che potrebbe portare alla compromissione di dati sensibili oltre che del normale funzionamento del PC. Quel che è peggio, poi, è che la patch in arrivo potrebbe avere effetti a dir poco deleteri sulle prestazioni di sistema complessive.

I dettagli sono ancora protetti da embargo, per dare tempo a Intel di lavorare sull'aggiornamento, ma quello che è già noto è a dir poco preoccupante: sfruttando il bug, un malintenzionato potrebbe arrivare a leggere il contenuto delle aree di memoria protette assegnate al kernel partendo da privilegi di accesso di un utente standard.

Il baco mette potenzialmente a rischio informazioni che dovrebbero restare "segrete" e di esclusiva competenza del codice privilegiato come password, chiavi di accesso, copie cache dei file su disco e molto altro ancora. Basterebbe uno script JavaScript malevolo per compromettere le informazioni, ipotizzano i ricercatori.
L'origine del problema risiede all'interno dell'hardware "fisico" della microarchitettura x86-64 di Intel, e non può essere eliminata con un "semplice" aggiornamento al microcodice veicolato attraverso un aggiornamento del firmware UEFI. La patch dovrà quindi agire a livello di sistema operativo, e in questo caso tutti i principali player di mercato (Windows, Linux, macOS) sono coinvolti.

La soluzione più immediata al bug sarebbe l'impiego di una misura di Page Table Isolation (PTI), un modo per rendere gli indirizzi di memoria assegnati al kernel "invisibili" e separati ai normali processi utente. In questo modo, però, si costringe il processore a un "super-lavoro" per passare continuamente dalla memoria kernel a quella utente con un impatto sulle prestazioni della CPU stimate fra i cinque e il 30% a seconda del modello del processore.

In attesa di novità sul fronte della patch, Intel è ora costretta a subire anche l'advertising praticamente gratuito a favore di AMD: Sunnyvale ci tiene a sottolineare che i suoi processori sono "immuni" da questo genere di attacchi grazie alle protezioni native degli indirizzi di memoria assegnati al kernel.

Alfonso Maruccia
152 Commenti alla Notizia Intel, CPU col baco
Ordina
  • .... è che la patch sarà “universale” nel senso che non farà distinzione sul tipo di processore montato e quindi rallenterà tutti i sistemi, anche quelli eventualmente (AMD) esclusi dal problema.
    In un mondo perfetto la INTEL adesso finirebbe a terra con le pezze al c..o a furia di risarcimenti visto che parliamo di un vero e proprio difetto di produzione.
    Io non ci sto a farmi castrare il pc in questo modo. A Natale scorso ho assemblato il pc con un i5 6600k comprando tutto su Amazon. Aspetto un po’ che la situazione si chiarisca e in caso mi faccio cambiare scheda madre e processore per passare a Ryzen sperando che le future contromisure non impattino anche sui processori sviluppati “bene”.
    non+autenticato
  • Sul mio PC personale e su quelli casalinghi non ho trovato alcun problema di prestazioni.
  • Anche io, per ora, non ho trovato differenze. Il PC di prova è un Sony Vaio con la CPU P8400 e Windows 7. Un paio di rapidissimi benchmark prima/dopo con CPU-Z e Atto Disk Benchmark evidenziano valori pressocchè simili.
  • - Scritto da: Zucca Vuota
    > Sul mio PC personale e su quelli casalinghi non
    > ho trovato alcun problema di
    > prestazioni.

    E alla lotteria di capodanno quanto hai vinto quest'anno?
  • - Scritto da: Zucca Vuota
    > Sul mio PC personale e su quelli casalinghi non
    > ho trovato alcun problema di
    > prestazioni.

    Mi sembra un po presto per parlare.
    Dati insufficienti per un giudizio serio.
    non+autenticato
  • - Scritto da: b73a53642f3
    +
    > Mi sembra un po presto per parlare.
    > Dati insufficienti per un giudizio serio.

    Mah... i miei PC di casa sono usati per musica, streaming video, word processing, navigazione, stampe. Nessun effetto sensibile.

    La patch ce l'ho anche (da ieri mattina presto) sul mio PC dove solitamente programmo e anche qui non ho notato differenze.

    Sarà il tipo d'uso che ne faccio.
  • - Scritto da: M.R.
    > .... è che la patch sarà “universale” nel senso
    > che non farà distinzione sul tipo di processore
    > montato e quindi rallenterà tutti i sistemi,
    > anche quelli eventualmente (AMD) esclusi dal
    > problema.

    Ma neanche per sogno!
    Quella cosa che dici tu forse, anzi sicuramente, la faranno i sistemi giocattolo e clementoni.

    Il Kernel Libero ha chiaramente specificato, come chiunque puo' andare a verificare

    #ifndef AMD
        PatchMeltdown();
        PatchSpectre();
    #endif

    > In un mondo perfetto la INTEL adesso finirebbe a
    > terra con le pezze al c..o a furia di
    > risarcimenti visto che parliamo di un vero e
    > proprio difetto di produzione.
    >
    > Io non ci sto a farmi castrare il pc in questo
    > modo.

    Installa il sistema operativo che non castra.

    > A Natale scorso ho assemblato il pc con un
    > i5 6600k comprando tutto su Amazon. Aspetto un
    > po’ che la situazione si chiarisca e in caso mi
    > faccio cambiare scheda madre e processore per
    > passare a Ryzen sperando che le future
    > contromisure non impattino anche sui processori
    > sviluppati
    > “bene”.

    Aspetta e spera.
  • Non ho capito se la notizia aggiornata comprenda tutti i processori delle case in oggetto prodotti nell'ultimo decennio
    non+autenticato
  • E comprenda quindi tutti i sistemi Windows, Apple e Linux indistintamente.

    >Non ho capito se la notizia aggiornata comprenda tutti i processori delle case in oggetto prodotti nell'ultimo decennio
    non+autenticato
  • quoto. sembrava un errore dell'architettura intel, ma ora perlomeno ARM sembrerebbe coinvolta (quasi tutti i cellulari?), AMD sembra di no?

    sarebbe aggiornare l'articolo data l.entita della cosa
    non+autenticato
  • - Scritto da: aieie brazov
    > Non ho capito se la notizia aggiornata comprenda
    > tutti i processori delle case in oggetto prodotti
    > nell'ultimo
    > decennio

    Questa storia dei 10 anni mi lascia un po' perplesso. Si parla di processori che fanno uso della "speculative execution". Tanto per dire anche il Pentium Pro ha questa funzionalità (parliamo di 20 anni fa).

    Sono compresi anche molti chip ARM ma non tutti (ARM dovrebbe aver rilasciato una lista). Apple ha dichiarato che tutti i suoi prodotti sono a rischio.

    L'unica sarebbe avere una lista di processori coinvolti dai produttori (oltre a AMD, Intel e ARM ci sarebbe anche IBM con il POWER, pare).

    Altro aspetto che mi sembra stia passando in secondo piano è il fatto che la patch per Meltdown non basta. Per mitigare Spectre c'è bisogno di aggiornare vari software tra cui i browser. Per esempio Microsoft ha rilasciato l'aggiornamento per IE e Edge, Mozilla per FF. Apple sta lavorando su Safari e Google su Chrome.

    Una bella confusione, insomma.
  • - Scritto da: Zucca Vuota
    > - Scritto da: aieie brazov
    > > Non ho capito se la notizia aggiornata
    > comprenda
    > > tutti i processori delle case in oggetto
    > prodotti
    > > nell'ultimo
    > > decennio
    >
    > Questa storia dei 10 anni mi lascia un po'
    > perplesso. Si parla di processori che fanno uso
    > della "speculative execution". Tanto per dire
    > anche il Pentium Pro ha questa funzionalità
    > (parliamo di 20 anni fa).
    >
    >
    > Sono compresi anche molti chip ARM ma non tutti
    > (ARM dovrebbe aver rilasciato una lista). Apple
    > ha dichiarato che tutti i suoi prodotti sono a
    > rischio.
    >
    > L'unica sarebbe avere una lista di processori
    > coinvolti dai produttori (oltre a AMD, Intel e
    > ARM ci sarebbe anche IBM con il POWER, pare).
    >
    >
    > Altro aspetto che mi sembra stia passando in
    > secondo piano è il fatto che la patch per
    > Meltdown non basta. Per mitigare Spectre c'è
    > bisogno di aggiornare vari software tra cui i
    > browser. Per esempio Microsoft ha rilasciato
    > l'aggiornamento per IE e Edge, Mozilla per FF.
    > Apple sta lavorando su Safari e Google su
    > Chrome.
    >
    > Una bella confusione, insomma.

    NO! Una GRANDE certezza invece!

    Che se ne dica, e che ci trastulliamo(il mio OS è sicuro, il tuo OS è insicuro)mentalmente, ne viene fuori che: i computers sono tutti un ENORME buco di insicurezza!
    non+autenticato
  • - Scritto da: Il Fuddaro


    > NO! Una GRANDE certezza invece!
    >
    > Che se ne dica, e che ci trastulliamo(il mio OS è
    > sicuro, il tuo OS è insicuro)mentalmente, ne
    > viene fuori che: i computers sono tutti un
    > ENORME buco di
    > insicurezza!


    Non è certo una novità. Chi pensa di essere sicuro perché ha una determinata macchina o un certo sistema, ha un atteggiamento da sempliciotto.
  • > Altro aspetto che mi sembra stia passando in
    > secondo piano è il fatto che la patch per
    > Meltdown non basta. Per mitigare Spectre c'è
    > bisogno di aggiornare vari software tra cui i
    > browser.

    Inoltre, credo, i BIOS delle schede madri.
  • - Scritto da: Joe Tornado

    > Inoltre, credo, i BIOS delle schede madri.

    Vero!

    Penso che avremo patch da fare per mesi.
  • O da NON fare. Non so cosa accada negli ambiti IT di un certo livello, ma a livello "casareccio", anche i più blasonati produttori dopo qualche anno se ne strafregano.
  • - Scritto da: Joe Tornado
    > O da NON fare. Non so cosa accada negli ambiti IT
    > di un certo livello, ma a livello "casareccio",
    > anche i più blasonati produttori dopo qualche
    > anno se ne
    > strafregano.

    I server hanno una vita media abbastanza lunga. Solitamente 1-3 anni di garanzia e contratti di supporto successivamente. Per qualche anno vengono supportati e quindi mi aspetto i fix. E' comunque un modo per selezionare i fornitori.

    Idem per certe categorie di laptop. Ma la loro vita media è assai più limitata.

    Comunque rimane il mio commento: è una bella confusione. Aspettiamo che cali il polverone (a mio parere ci vorranno un paio di settimane, almeno).
  • Certamente, poi magari viene fuori che all'atto pratico i drastici cali di prestazioni sono circoscritti e non influenti se non in scenari specifici; ed i rischi di "infezione" per chi non ha potuto proteggersi possono essere contenuti con l'aggiornamento dei browsers e il normale buon senso nel fare click. Poi, magari, per qualcuno è una scusa per aggiornare il sistema.
  • Una variante AMD è immune, una per AMD il rischio è teorico e una è uguale sia per AMD che Intel.
    Bastava leggere il sito originale. Scrivere senza capire....
    non+autenticato
  • supponiamo voglia tenermi veloce il mio pc da gioco e non aggiornare, cosa posso fare x mitigare, standoci attento?
    non+autenticato
  • - Scritto da: personale
    > supponiamo voglia tenermi veloce il mio pc da
    > gioco e non aggiornare, cosa posso fare x
    > mitigare, standoci
    > attento?

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: personale
    > supponiamo voglia tenermi veloce il mio pc da
    > gioco e non aggiornare, cosa posso fare x
    > mitigare, standoci
    > attento?

    AMD.
  • - Scritto da: panda rossa
    > - Scritto da: personale
    > > supponiamo voglia tenermi veloce il mio pc da
    > > gioco e non aggiornare, cosa posso fare x
    > > mitigare, standoci
    > > attento?
    >
    > AMD.
    CIOCCOLATINO, infetta pure amd e pure arm.
    non+autenticato
  • Ero prossimo all'acquisto (per sfizio, non per necessità) di una CPU Kaby Lake, con cui sostituire la CPU Skylake che utilizzo attualmente, ma questa cosa mi fa cambiare idea. Vorrei capire 1) se da oggi i nuovi processori prodotti saranno immuni da questo problema; 2) se - con Windows - ci sarà un controllo sulla presenza e funzionalità della patch che verrà rilasciata; in particolare se si limita ad una soluzione software o se va a scrivere nel BIOS, resistendo pertanto a reinstallazioni dell'OS; 3) quanto, all'atto pratico, influirà questo evento sulle prestazioni e/o risparmio energetico; 4) quali ambiti sono interessati (altrove ho letto di ambienti virtualizzati); infine esattamente quali CPU sono interessate. Oltre all'I5, ho diverse macchine qua e là con vecchi processori "core" e altri di fascia bassa - Q9650, E8200, P8400, Celeron N3050, un paio di Atom, etc.
  • - Scritto da: Joe Tornado
    > 3)
    > quanto, all'atto pratico, influirà questo evento
    > sulle prestazioni e/o risparmio energetico;

    Questione interessante.
    I bitcoin potrebbero aumentare di valore.
  • - Scritto da: Joe Tornado
    > Ero prossimo all'acquisto (per sfizio, non per
    > necessità) di una CPU Kaby Lake, con cui
    > sostituire la CPU Skylake che utilizzo
    > attualmente, ma questa cosa mi fa cambiare idea.
    > Vorrei capire 1) se da oggi i nuovi processori
    > prodotti saranno immuni da questo problema;

    Decide intel.

    > 2) se
    > - con Windows - ci sarà un controllo sulla
    > presenza e funzionalità della patch che verrà
    > rilasciata; in particolare se si limita ad una
    > soluzione software o se va a scrivere nel BIOS,
    > resistendo pertanto a reinstallazioni dell'OS;

    E' un problema hardware, esistono solo i workaroud software.

    3)
    > quanto, all'atto pratico, influirà questo evento
    > sulle prestazioni e/o risparmio energetico;

    La risposta la trovi nell' articolo:

    "La soluzione più immediata al bug sarebbe l'impiego di una misura di Page Table Isolation (PTI)... però, si costringe il processore a un "super-lavoro""

    E ancora:

    "impatto sulle prestazioni della CPU stimate fra i cinque e il 30%"

    A me suona parecchio come "più cicli di clock per gli stessi task" = consumi più elevati.

    4)
    > quali ambiti sono interessati (altrove ho letto
    > di ambienti virtualizzati);

    Qualsiasi cosa permetta l' esecuzione di codice da remote... hai presente javascript?

    > infine esattamente
    > quali CPU sono interessate. Oltre all'I5, ho
    > diverse macchine qua e là con vecchi processori
    > "core" e altri di fascia bassa - Q9650, E8200,
    > P8400, Celeron N3050, un paio di Atom,
    > etc.

    Imbarazzato

    "almost every modern processor since 1995 is vulnerable to the issues."

    https://thehackernews.com/2018/01/meltdown-spectre...
    non+autenticato
  • - Scritto da: Joe Tornado
    > Ero prossimo all'acquisto (per sfizio, non per
    > necessità) di una CPU Kaby Lake, con cui
    > sostituire la CPU Skylake che utilizzo
    > attualmente, ma questa cosa mi fa cambiare idea.
    > Vorrei capire 1) se da oggi i nuovi processori
    > prodotti saranno immuni da questo problema;


    Mi sono posto la stessa domanda.

    Ho provato a fare qualche ricerca, volevo sapere quando Intel è stata informata, non lo dicono da nessuna parte, ma le prime patch sono comparse quasi tre mesi fa. Probabilmente Intel sa del bug da più di tre mesi, non so se sono abbastanza per sistemare le linee di produzione. Oltretutto i chip in commercio ora chissa quando sono stiti spediti ai distributori.
    Mi sa che per fare un upgrade ti conviene aspettare qualche mese.
    non+autenticato
  • - Scritto da: 1d7884b37bc
    > - Scritto da: Joe Tornado
    > > Ero prossimo all'acquisto (per sfizio, non
    > per
    > > necessità) di una CPU Kaby Lake, con cui
    > > sostituire la CPU Skylake che utilizzo
    > > attualmente, ma questa cosa mi fa cambiare
    > idea.
    > > Vorrei capire 1) se da oggi i nuovi
    > processori
    > > prodotti saranno immuni da questo problema;
    >
    >
    > Mi sono posto la stessa domanda.
    >
    > Ho provato a fare qualche ricerca, volevo sapere
    > quando Intel è stata informata, non lo dicono da
    > nessuna parte, ma le prime patch sono comparse
    > quasi tre mesi fa. Probabilmente Intel sa del bug
    > da più di tre mesi, non so se sono abbastanza per
    > sistemare le linee di produzione. Oltretutto i
    > chip in commercio ora chissa quando sono stiti
    > spediti ai distributori.
    >
    > Mi sa che per fare un upgrade ti conviene
    > aspettare qualche
    > mese.

    Per sfizio poi e meglio evitare proprio!

    E un'imposta degli amici nsa, di sapere sapevano(da tanto), ma conviene fare i tonti come sempre hanno fatto.
    non+autenticato
  • Ovvio. Avrei atteso comunque un calo dei prezzi per le CPU i7-7700K, che a questo punto, non è detto che ci sarà.
  • Mangia pure tranquillo, si affretteranno a togliere il fumo dagli occhi con qualche patch.
    Ma non saprai mai quante e quali altre backdoors presenti e future vorranno mettere i draghi monopolisti Intel e affini.
    Cosa credevate, di utilizzare i vostri dati personali senza condividerli con il GF buono?

    - Scritto da: Joe Tornado
    > Ero prossimo all'acquisto (per sfizio, non per
    > necessità) di una CPU Kaby Lake, con cui
    > sostituire la CPU Skylake che utilizzo
    > attualmente, ma questa cosa mi fa cambiare idea.
    > Vorrei capire 1) se da oggi i nuovi processori
    > prodotti saranno immuni da questo problema; 2) se
    > - con Windows - ci sarà un controllo sulla
    > presenza e funzionalità della patch che verrà
    > rilasciata; in particolare se si limita ad una
    > soluzione software o se va a scrivere nel BIOS,
    > resistendo pertanto a reinstallazioni dell'OS; 3)
    > quanto, all'atto pratico, influirà questo evento
    > sulle prestazioni e/o risparmio energetico; 4)
    > quali ambiti sono interessati (altrove ho letto
    > di ambienti virtualizzati); infine esattamente
    > quali CPU sono interessate. Oltre all'I5, ho
    > diverse macchine qua e là con vecchi processori
    > "core" e altri di fascia bassa - Q9650, E8200,
    > P8400, Celeron N3050, un paio di Atom,
    > etc.
    non+autenticato
  • Mi accontenterei di non perdere potenza di calcolo. Del resto, anche se ora sotto i riflettori c'è Intel, non credo che AMD sia da meno in ambito di "features" nascoste.
  • Finito il mio piccino con Ryzen 7 1700.
    Figatona estrema ed esente dal bug a quanto pare...

    intel abbandonata finalmente dopo 15 anni, e funziona tutto veramente bene con Linux.
    Ho scelto Radeon R7 250 a dissipatore passivo, non ho più preso la Nvidia GT 1030. Tanto non gioco e ho comunque una buona velocità di tutto il sottosistema video. Specie perché i driver opensource delle Radeon sono ottimi.

    Ma il Ryzen 7 1700 8 core 16 thread è un portento con tutti i lavori di compilazione, compressione, decompressione. È un rullo compressore coi tar.gz.
    Posso overclockare ma per il momento aspetto il dissipatore low profile da 130 watt di TDP.

    E cavolo se corre la SSD NVME da 1TB. Nei test supera i 1800 MB/s.
    E con una SSD da 120GB faccio la cache per il disco meccanico da 3TB in LVM, e per i file archiviati che accedo più di frequente ho gli stessi accessi di una SSD SATA dopo il primo accesso.

    È tutto un altro lavorare.

    È piccolo piccolo col case Lian Li PC-Q21B.

    Clicca per vedere le dimensioni originali

    Clicca per vedere le dimensioni originali
    -----------------------------------------------------------
    Modificato dall' autore il 04 gennaio 2018 21.02
    -----------------------------------------------------------
    iRoby
    9728
  • Eh, ok, sono felice per te ... ma i miei interrogativi rimangonoSorride Vorrei evitare di dover cambiare scheda madre, oggi tocca ad Intel, domani magari ad AMD ! Immaginare una possibile soluzione indolore conviene a tutti. Tra l'altro, non mi sembra che i Ryzen siano proprio regalati !
  • - Scritto da: Joe Tornado
    > Eh, ok, sono felice per te ... ma i miei
    > interrogativi rimangonoSorride Vorrei evitare di
    > dover cambiare scheda madre, oggi tocca ad Intel,
    > domani magari ad AMD ! Immaginare una possibile
    > soluzione indolore conviene a tutti. Tra l'altro,
    > non mi sembra che i Ryzen siano proprio regalati
    > !
    Nessuno "regala" niente ma costano comunque meno "dell'equivalente teorico" Intel...
    Per il resto riguardo al "domani"....
    Mi sa che ha ragione tale Lorenzo (de Medici)
    "Chi vuole esser lieto, sia, di doman non c'è certezza"...
    Tocca che ti rassegni!
    o Almeno ho questo fortissimo "sospetto"....
    Ma volendo si può sempre farsi pigliare per i fondelli dalla ultima campagna marketing dei vendor e far finta di essere convinti eh!
    Mica si è obbligati a pensare come il Lorenzo!
    A bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)