Alfonso Maruccia

Meltdown e Spectre, i super-bug dell'hi-tech

Quello che all'inizio sembrava un problema dei chip di Intel si è rivelato essere una falla "sistemica" dell'intero mercato delle CPU. I bug sono tre, le aziende coinvolte innumerevoli e gli effetti a lungo termine difficili da calcolare

Roma - Dopo le prime indiscrezioni degli ultimi giorni, in queste ore il baco dei chip Intel si è trasformato in una nuova tempesta informativa destinata a coinvolgere - in un modo o nell'altro - l'intero settore tecnologico. Santa Clara non è l'unica azienda interessata al problema, mentre le patch in arrivo sono copiose e i benchmark prefigurano scenari contraddittori in merito agli effetti degli aggiornamenti sulle prestazioni.

I bug scoperti da un team di ricercatori (Google Project Zero, Cyberus Technology, Graz University of Technology) sono tre, classificati rispettivamente come Variante 1, Variante 2 e Variante 3. La Variante 1 (CVE-2017-5753) riguarda un problema di bounds check bypass, la Variante 2 (CVE-2017-5715) presta il fianco a una branch target injection e la Variante 3 (CVE-2017-5754) permette di accedere alla memoria cache della CPU in maniera inappropriata. Complessivamente, i bug sono noti come Meltdown (Variante 3) e Spectre (Variante 1 e 2).

Meltdown è il più grave dei bug, ed è quello che è stato reso noto dalle indiscrezioni dei giorni scorsi; gli effetti più nefasti della vulnerabilità sono stati individuati sulle microarchitetture x86 dei chip Intel, ovvero su quelli capaci di eseguire le istruzioni software in maniera non sequenziale ("out-of-order") grazie alla predizione speculativa gestita direttamente in hardware.
Si parla, in sostanza, di una vulnerabilità che potenzialmente interessa tutte le CPU di Santa Clara prodotte dal 1995 (Pentium) in poi a esclusione di Itanium e Atom precedenti al 2013, mentre i ricercatori hanno sperimentato gli effetti concreti della falla sulle CPU x86-64 uscite dal 2011 in poi. Interessati da Meltdown sono anche i processori ARM per gadget mobile, mentre AMD è interessata soprattutto dalle vulnerabilità di Spectre.

Per quanto riguarda gli effetti concreti delle falle, Meltdown può essere sfruttata per leggere i contenuti della memoria privata assegnata al kernel partendo da programmi con normali privilegi di accesso utente, mentre Spectre può portare all'estrazione di informazioni gestite da processi diversi da quello attualmente in esecuzione. Ancora più in concreto, oltre alla compromissione - di per se gravissima - della memoria virtuale del kernel gli utenti e le aziende potrebbero andare incontro alla violazione di dati sensibili come password, carte di credito, informazioni riservate, database; sui server cloud, una macchina virtuale guest potrebbe in teoria avere accesso al sistema operativo host del server con tutte le nefaste conseguenze del caso.

Come prevedibile, Meltdown e Spectre coinvolgono un gran numero di aziende, produttori OEM, software, sistemi operativi e piattaforme di computing, e non è un caso che le tre falle abbiamo velocemente fatto il giro di Internet riversandosi infine sui media generalisti con i soliti toni allarmistici in stile "Millennium bug". I bug - soprattutto nel caso di Meltdown - riguardano difetti presenti direttamente nell'hardware delle CPU, ma le aziende coinvolte si sono mosse per cercare di porre rimedio e mitigarne gli effetti con patch e aggiornamenti a pioggia tendenti a isolare il kernel dal resto della memoria di sistema.

Microsoft ha rilasciato un aggiornamento in anticipo sul suo tradizionale martedì di patch mensile, permettendo agli utenti di Windows 7, Windows 8.1 e Windows 10 di mettersi al riparo da eventuali exploit e attacchi - finora inesistenti - in arrivo nel prossimo futuro. Sugli OS di Redmond è possibile verificare la presenza delle falle sul proprio sistema grazie a uno script PowerShell, mentre i sistemi della linea Surface hanno ricevuto aggiornamenti per il firmware UEFI. Mozilla ha approntato due misure in grado di mitigare gli effetti dei bug con Firefox 57.0.4, mentre Google ha promesso di rilasciare un fix per Chrome entro la fine del mese. Ubuntu rilascerà una patch il prossimo 9 gennaio. Una lista aggiornata di tutti gli update disponibili o in arrivo è stata pubblicata da Bleeping Computer.

Meltdown e Spectre sono inesorabilmente destinati a far parlare di se per molto tempo ancora, soprattutto nel secondo caso visto che le vulnerabilità 1 (CVE-2017-5753) e 2 (CVE-2017-5715) sono più difficili da eliminare con un aggiornamento software. AMD continua a sostenere di essere "immune" al problema, cosa oggettivamente vera nel caso di Meltdown, mentre Intel deve fare i conti con polemiche inesorabilmente destinate a intaccare il buon nome dell'azienda oltre alle vendite di CPU. Il CEO Brian Krzanich deve poi spiegare il perché di una vendita in blocco delle azioni seguita alla scoperta dei bug.

Gli effetti degli aggiornamenti anti-Meltdown sul fronte delle prestazioni delle CPU, infine, sono forse quelli che più interessano aziende e utenti finali: le prime stime parlavano di un impatto compreso tra il 5 e il 30%, ma i primi benchmark seguiti alle patch Microsoft per Windows hanno confermato che l'utenza consumer - e quella appassionata di videogiochi - non ha praticamente nulla da temere. Più complesso il discorso per il settore enterprise e cloud, dove le operazioni intensive su database, macchine virtuali e risorse di computing distribuite potrebbero sperimentare un degrado delle performance sensibilmente più percepibile.

Alfonso Maruccia
Notizie collegate
  • AttualitàIntel, CPU col bacoUn grave bug di sicurezza mette a rischio gli utenti di PC basati su CPU Intel, soprattutto in ambito virtualizzazione. La patch, in arrivo, potrebbe peggiorare in maniera sensibile le prestazioni. AMD? Gongola: noi immuni
74 Commenti alla Notizia Meltdown e Spectre, i super-bug dell'hi-tech
Ordina
  • Si segnalano gravi problemi su Linux Ubuntu 16.04 dopo aver applicato queste patch di sicurezza, la macchina non parte più: Rotola dal ridere
    https://ubuntuforums.org/showthread.php?t=2382157
    non+autenticato
  • - Scritto da: yepp
    > Si segnalano gravi problemi su Linux Ubuntu 16.04
    > dopo aver applicato queste patch di sicurezza, la
    > macchina non parte più:
    > Rotola dal ridere
    > https://ubuntuforums.org/showthread.php?t=2382157

    Il problema di linux è capire la differenza tra macchina accesa e spenta.
    non+autenticato
  • Microsoft ha comunicato che queste patch di sicurezza hanno un impatto negativo sulle prestazioni soprattutto sulle vecchie versioni di Windows, come Windows 7 :ciapet: e Windows 8, perchè su questi vecchi OS si verifica un maggior numero di transizioni fra lo spazio utente e kernel a causa del fatto che la gestione del rendering dei caratteri è implementata tutta a livello kernel. In Windows 10 invece è stata spostata in user space.
    https://cloudblogs.microsoft.com/microsoftsecure/2...
    => Ecco un'altra ragione per passare a Windows 10A bocca aperta
    non+autenticato
  • - Scritto da: yepp
    > Microsoft ha comunicato che queste patch di
    > sicurezza hanno un impatto negativo sulle
    > prestazioni soprattutto sulle vecchie versioni di
    > Windows, come Windows 7 :ciapet: e Windows 8,
    > perchè su questi vecchi OS si verifica un maggior
    > numero di transizioni fra lo spazio utente e
    > kernel a causa del fatto che la gestione del
    > rendering dei caratteri è implementata tutta a
    > livello kernel. In Windows 10 invece è stata
    > spostata in user
    > space.
    > https://cloudblogs.microsoft.com/microsoftsecure/2
    > => Ecco un'altra ragione per passare a Windows
    > 10
    >A bocca aperta

    quindi dopo 30 anni fanno uguale a linux
    non+autenticato
  • Anche NVIDIA è pronta a rilasciare una patch di sicurezza con i suoi driver: Deluso
    http://nvidia.custhelp.com/app/answers/detail/a_id...
    non+autenticato
  • Ho un notebook lenovo b590 con cpu intel celeron 1005M ,su windows update di win 10 pro oggi non ho trovato aggiornamenti per questo bug, ho anche cercato tra gli aggiornamenti dal sito intel usando il programmino che danno per la rilevazione dell'hardware ma mi ha fatto aggiornare solo la scheda video integrata, quindi dove dovrei andare per fare fare l'aggiornamento/patch per questo bug? Si parlava di firmware del processore anche. boh. come minimo di un update di win 10. dimmi te.
    Ho anche un notebook hp con altro cpu intel. ma intanto devo risolvere questo.

    Poi per 2 tablet con cpu cortex-A9 non c'è molto da fare....... SOno vecchi e non vengono aggiornati.
    -----------------------------------------------------------
    Modificato dall' autore il 08 gennaio 2018 18.43
    -----------------------------------------------------------
    user_
    1103
  • - Scritto da: user_
    > Ho un notebook lenovo b590 con cpu intel celeron
    > 1005M ,su windows update di win 10 pro oggi non
    > ho trovato aggiornamenti per questo bug, ho anche
    > cercato tra gli aggiornamenti dal sito intel
    > usando il programmino che danno per la
    > rilevazione dell'hardware ma mi ha fatto
    > aggiornare solo la scheda video integrata, quindi
    > dove dovrei andare per fare fare
    > l'aggiornamento/patch per questo bug? Si parlava
    > di firmware del processore anche. boh. come
    > minimo di un update di win 10. dimmi
    > te.
    > Ho anche un notebook hp con altro cpu intel. ma
    > intanto devo risolvere
    > questo.
    >
    > Poi per 2 tablet con cpu cortex-A9 non c'è molto
    > da fare....... SOno vecchi e non vengono
    > aggiornati.
    > --------------------------------------------------
    > Modificato dall' autore il 08 gennaio 2018 18.43
    > --------------------------------------------------

    Forse il pallottoliere risolve tutto!

    Rilassati, siamo tutti esposti, anche se risolvessi questo, ci sono autostrade a sette corsie ancora aperte per gli amici dell'NSA e affini.

    Non puoi farci niente, sono autostrade preferenziali 'asfaldate' appositamente per loro. L'unico consiglio accettabile serio, è disabilita tutto da UEFI* a securbot, e compagnia cantante.

    *UEFI e un sistema operativo COMPLETO fatto appositamente per uso e abuso delle agenzie governative USA. SAPPILO!
    non+autenticato
  • Ho installato le patch su un portatile con CPU Core i5; non si notano rallentamenti.
    Però ho pure un vecchio desktop con CPU AMD 64 Athlon X2 a carbone; probabilmente è troppo preistorica per essere affetta dal bug, però ho letto che le patch per Intel rallentano anche le AMD.
    In un caso del genere cosa si dovrebbe fare?
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Ho installato le patch su un portatile con CPU
    > Core i5; non si notano
    > rallentamenti.
    > Però ho pure un vecchio desktop con CPU AMD 64
    > Athlon X2 a carbone; probabilmente è troppo
    > preistorica per essere affetta dal bug, però ho
    > letto che le patch per Intel rallentano anche le
    > AMD.
    > In un caso del genere cosa si dovrebbe fare?

    La patch di windows? Io l'ho messa in un pc che ha amd phenom2 x2 550, e non noto rallentamenti, in windows 7 x64 ultimate. Non so se va tolta la patch, non so neanche se questo processore ha quei bug.
    user_
    1103
  • - Scritto da: user_
    > - Scritto da: Alvaro Vitali
    > > Ho installato le patch su un portatile con
    > CPU
    > > Core i5; non si notano
    > > rallentamenti.
    > > Però ho pure un vecchio desktop con CPU AMD
    > 64
    > > Athlon X2 a carbone; probabilmente è troppo
    > > preistorica per essere affetta dal bug, però
    > ho
    > > letto che le patch per Intel rallentano
    > anche
    > le
    > > AMD.
    > > In un caso del genere cosa si dovrebbe fare?
    >
    > La patch di windows? Io l'ho messa in un pc che
    > ha amd phenom2 x2 550, e non noto rallentamenti,
    > in windows 7 x64 ultimate. Non so se va tolta la
    > patch, non so neanche se questo processore ha
    > quei
    > bug.
    ma la patch cosa tenta di risolvere, prima di tutto?
    perche amd e' vulnerabile (come tutti) al bounds check bypass (CVE-2017-5753) . l'altra spectre e a meltdown no..
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: user_
    > > - Scritto da: Alvaro Vitali
    > > > Ho installato le patch su un portatile con
    > > CPU
    > > > Core i5; non si notano
    > > > rallentamenti.
    > > > Però ho pure un vecchio desktop con CPU AMD
    > > 64
    > > > Athlon X2 a carbone; probabilmente è troppo
    > > > preistorica per essere affetta dal bug,
    > però
    > > ho
    > > > letto che le patch per Intel rallentano
    > > anche
    > > le
    > > > AMD.
    > > > In un caso del genere cosa si dovrebbe
    > fare?
    > >
    > > La patch di windows? Io l'ho messa in un pc che
    > > ha amd phenom2 x2 550, e non noto rallentamenti,
    > > in windows 7 x64 ultimate. Non so se va tolta la
    > > patch, non so neanche se questo processore ha
    > > quei
    > > bug.
    > ma la patch cosa tenta di risolvere, prima di
    > tutto?
    > perche amd e' vulnerabile (come tutti) al bounds
    > check bypass (CVE-2017-5753) . l'altra spectre e
    > a meltdown
    > no..
    e cmq se vuoi titillarti con la spectre, boota linux e prova questo PoC https://gist.github.com/ErikAugust/724d4a969fb2c6a...
    non+autenticato
  • Io mi riferivo alla patch per Linux.
    Comunque, girando su Internet si scopre che anche le AMD 64 Athlon X2 sono affette dal bug; il problema è che la patch per Windows sta creando seri problemi con quella CPU perché, come segnalato da molti utenti, dopo l'installazione i PC si bloccano al boot con un BSOD.

    https://social.technet.microsoft.com/Forums/en-US/...

    Non vorrei che succedesse anche con Linux.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Io mi riferivo alla patch per Linux.
    > Comunque, girando su Internet si scopre che anche
    > le AMD 64 Athlon X2 sono affette dal bug; il
    > problema è che la patch per Windows sta creando
    > seri problemi con quella CPU perché, come
    > segnalato da molti utenti, dopo l'installazione i
    > PC si bloccano al boot con un
    > BSOD.

    Niente di strano.
    Winsozz: BSOD.

    >
    > https://social.technet.microsoft.com/Forums/en-US/
    >
    > Non vorrei che succedesse anche con Linux.

    Che cosa? Il BSOD? Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
  • - Scritto da: panda rossa
    >
    > Che cosa? Il BSOD? Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Quella è un'esclusiva M$.
    E' che si tratta del desktop che uso per lavoro; sta funzionando veramente bene con openSUSE Leap 42.2 e non vorrei avere problemi.
    Le patch arrivate ieri si riferiscono al microcode per Intel e al kernel in generale, per cui non si sa che effetti possano avere sulle vecchie AMD; non trovo nulla su Internet, anche perché non so quanti PC Linux ci siano ancora in giro con quella CPU.
    non+autenticato
  • > Le patch arrivate ieri si riferiscono al
    > microcode per Intel e al kernel in generale, per
    > cui non si sa che effetti possano avere sulle
    > vecchie AMD; non trovo nulla su Internet, anche
    > perché non so quanti PC Linux ci siano ancora in
    > giro con quella
    > CPU.

    Panda ha detto che quel bidone del kernel linux ha chiaramente indicato dove c'è il codice per patchare. Quindi apri il sorgente e controlla come ha fatto lui. Oppure fidati di panda rossa che ha rivisto tutto il codice.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Le patch arrivate ieri si riferiscono al
    > > microcode per Intel e al kernel in generale,
    > per
    > > cui non si sa che effetti possano avere sulle
    > > vecchie AMD; non trovo nulla su Internet,
    > anche
    > > perché non so quanti PC Linux ci siano
    > ancora
    > in
    > > giro con quella
    > > CPU.
    >
    > Panda ha detto che quel bidone del kernel linux
    > ha chiaramente indicato dove c'è il codice per
    > patchare. Quindi apri il sorgente e controlla
    > come ha fatto lui. Oppure fidati di panda rossa
    > che ha rivisto tutto il
    > codice.

    Vorremmo che c'è la dessi tu la dritta, sembri un MCP espertisssimo.

    Dai non essere timido ti ascoltiamo.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > - Scritto da: panda rossa
    > >
    > > Che cosa? Il BSOD?
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Quella è un'esclusiva M$.
    > E' che si tratta del desktop che uso per lavoro;
    > sta funzionando veramente bene con openSUSE Leap
    > 42.2 e non vorrei avere
    > problemi.
    > Le patch arrivate ieri si riferiscono al
    > microcode per Intel e al kernel in generale, per
    > cui non si sa che effetti possano avere sulle
    > vecchie AMD; non trovo nulla su Internet, anche
    > perché non so quanti PC Linux ci siano ancora in
    > giro con quella
    > CPU.
    Stessa configurazione con phenom va esattamente come prima anche facendo test.
    Mi pare di capire comunque che il problema di avere rallentamento sia più che altro a carico Intel nelle applicazioni che hanno molti interrupt con chiamate al kernel.
    Ad esempio accesso a db e cose tipo read/write intensivo su disco/ssd in cui ovviamente gli interrupt e le chiamate al kernel sono molto frequenti.
    In realtà è ciò che ci si poteva aspettare dato che in quel caso hai una forte interazione con PTI handling.
    In ogni caso non definirei la cosa come "tragica" anzi pensavo peggio.
    Anche le operazioni crypto (tipo openssl) sono soggette (ovvio) ma anche lì senza esagerare. Parliamo di un 2-3 per cento.
    A spanne tuttavia c'è da aspettarsi situazioni assai diverse su os diversi.
    Per come la vedo io gli effetti saranno grandemente dipendenti dal tipo di OS.
    non+autenticato
  • > Winsozz: BSOD.

    Mai successo, dopo un aggiornamento. Però, da oltre un anno, ho preso l'abitudine di fare un'immagine della partizione con l'OS, prima di installare il "pacchettone" mensile; meglio essere sicuri.

    Ovviamente, nessun problema con il suddetto "pacchettone" e, avendo un po' di tempo, ho fatto qualche prova, con il semplice benchmark di CPU-Z, lanciato però più volte consecutivamente. Il risultato è che dopo l'installazione della patch ottengo qualche punto in meno, minuteria. Provato lo stesso benchmark su un Windows 7 in VM, installata su quella macchina in Virtual Box, in tre momenti diversi - patch non installata, patch solo su host, patch su guest e host - non è cambiato nulla.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)