Meltdown e Spectre: punto della situazione sulle falle delle CPU

04 Gennaio 2018 387

Meltdown e Spectre; è questi sono i nomi ufficiali di due delle vulnerabilità rese pubbliche nel corso della giornata di ieri, in grado di essere sfruttate su ogni processore Intel. Le ultime ore hanno contribuito a rendere più chiaro e completo il quadro della vicenda, dal momento che l'embargo sui dettagli degli exploit sembra essere stato rimosso con discreto anticipo, motivo per cui oggi possiamo tracciare il punto della situazione.

Partiamo subito distinguendo le due vulnerabilità. Sebbene Meltdown e Spectre portino allo stesso risultato, ovvero il potenziale furto di dati sensibili dal computer attaccato, il loro funzionamento è abbastanza diverso. La falla descritta nell'articolo di ieri è quella che oggi viene definita Meltdown e riguarda principalmente le CPU Intel realizzate dal 1995 ad oggi (tranne Intel Itanium e gli Atom pre 2013) che utilizzano un'architettura di esecuzione dinamica. Tra le due, questa è la vulnerabilità più facile da sfruttare ed è anche quella più semplice da correggere.

Allo stato attuale le protezioni contro Meltdown sono già presenti su macOS High Sierra 10.13.2, con ulteriori ritocchi che verranno introdotti da 10.13.3, e su tutti i dispositivi Android che hanno installato le ultime patch di sicurezza, dal momento che anche i processori ARM sono esposti a questo rischio, come riassunto nella documentazione ufficiale della società e riportato più in basso nell'articolo.

(poco sotto il tweet di Alex Ionescu che annuncia la presenza della patch su macOS 10.13.2)

Google ha aggiunto che saranno rilasciati degli aggiornamenti specifici per Chrome e Chrome OS, mentre ora è possibile attivare la modalità Site Isolation del browser per ridurre il rischio di potenziali attacchi. Le patch contro Meltdown arrivano anche su Windows, Edge e Internet Explorer a partire dal rilascio di un aggiornamento di emergenza attualmente in distribuzione. I sistemi Linux, invece, risulteranno protetti dopo aver applicato le patch KPTI, precedentemente note con il nome KAISER.

Intel, ARM e AMD. Quasi nessuna CPU è stata risparmiata dalle vulnerabilità Meltdown e Spectre, anche se AMD sembra aver retto meglio il colpo

Meltdown è in grado di annullare la barriera fisica che isola le applicazioni a livello utente dal kernel, permettendo l'esecuzione di codice in grado di ottenere dati sensibili da una memoria di alto livello, virtualmente inaccessibile. Spectre, invece, agisce in maniera più subdola e risulta più difficile da contrastare e - fortunatamente - da sfruttare. La vulnerabilità inganna altre applicazioni completamente prive di errori e le porta ad accedere a parti di memoria al di fuori dalla loro competenza, in modo da ottenere dati sensibili. Nel lungo periodo Spectre potrebbe rappresentare un problema molto più importante di Meltdown, dal momento che sembra poter colpire ogni CPU esistente, sia Intel, ARM o AMD.

Le CPU ARM vulnerabili a Meltdown e Spectre. Quelle assenti dalla tabella non sono colpite dal problema

I commenti sulla vicenda non si sono fatti attendere e Brian Krzanich di Intel è intervenuto in una breve intervista rilasciata alla CNBC, nella quale sono state rilasciate alcune dichiarazioni degne di nota. Tra queste riportiamo il fatto che Intel fosse a conoscenza del problema da diverso tempo e ha lavorato attivamente con altri partner, tra cui ARM e AMD, per realizzare le correzioni che verranno pubblicate a breve.

Krzanich ha anche aggiunto che il calo di performance sarà inferiore a quanto ipotizzato in precedenza, sarà quasi impercettibile per gli utenti comuni - specialmente lato gaming - e verrà gradualmente ridotto con aggiornamenti successivi delle patch. Il boss di Intel ha anche lanciato una stoccata alla concorrenza, affermando che anche le CPU realizzate dagli altri produttori possono essere colpite da questo problema.

AMD non si è lasciata cogliere impreparata e ha subito respinto l'attacco di Intel, rilasciando una dichiarazione riportata dalla CNBC. Al suo interno si può leggere che, per via della differente architettura, le CPU AMD presentano rischi prossimi allo zero nei confronti di tre diverse vulnerabilità. La società afferma di aver messo all'opera il suo team di ricerca, il quale ha identificato le criticità e ha verificato che queste non sono in grado di colpire le sue CPU. Nel corso della prossima settimana verranno rilasciati maggiori dettagli sulle ricerche svolte, mentre qui potete trovare una breve descrizione dello stato attuale delle cose per quanto concerne AMD.

Il punto della situazione di AMD. Una vulnerabilità corretta e due impossibili da sfruttare per via delle differente architettura

I ricercatori di Google Project Zero hanno avvistato per primi le due vulnerabilità, segnalando prima Spectre e poi Meltdown a Intel, ARM e AMD. La prima è stata comunicata già lo scorso 1 giugno 2017, mentre la seconda è arrivata il 28 luglio. Google, all'interno di un dettagliatissimo post pubblicato sul suo blog, ha spiegato nel dettaglio le tre falle rilevate (quelle testate da AMD) e le modalità di attacco.

Insomma, sembra che la fine di questa vicenda sia ancora lontana, specialmente per quanto riguarda Spectre. Vi invitiamo quindi ad installare gli ultimi aggiornamenti disponibili su tutti i principali sistemi operativi e sui browser web. Mozilla ha annunciato che Firefox non è totalmente protetto, tuttavia l'utilizzo di versioni pari o superiori alla 57 possono ridurre i rischi di un attacco, mentre Google ha confermato che migliorerà il livello di sicurezza con il rilascio di Chrome 64 nel corso di questo mese.

Per maggiori informazioni vi invitiamo a consultare il sito informativo di Meltdown e Spectre, in cui potete trovare molti dettagli accademici.


387

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Nyarly™

Salve, io ho un Atom N2600, sarei immune,è cosi?

cipo

Un mio portatile con windows10 home si è aggironato..da solo... E' un i5 2430M (2core) con qualche anno alle spalle..
Facendo i test prima e dopo l'aggiornamento di oggi:
con Novabench (V.4.0.3) perdo una media di 30/40 punti CPU.. anche di più ma forse si era scaldato un po' troppo...
Test con Geebench 4.2.0 invece pressochè uguale..
https://uploads.disquscdn.c...

MattiaG

Chiarissimo. Grazie mille

Maurizio Mugelli

vanno a chiudere un po' tutto ma serve un approccio a piu' punte, sia sul fronte firwmare (bios), sul fronte sistema operativo e sul fronte programmi che ci girano sopra/antivirus ecc.

da un punto di vista di applicazione tecnica il fix piu' facile da applicare e' quello di meltdown, pero' e' anche quello dove la soluzione crea piu' problemi (specie su server/sistemi con macchine virtuali)
spectre e' piu' difficile da risolvere ma ha anche applicazioni molto inferiori e con richieste piu' complesse, con meltdown vai e leggi la memoria senza vincoli, con spectre puoi accedere soltanto a locazioni di memoria limitate e bisogna che tu sappia gia' cosa bersagliare in memoria.

uncletoma

Si, letto, speravo di essere immune invece no :(

Stefano Disabato

Sintesi massima:
Con meltdown potranno pure correggere lato software con delle patch.....ma con spectre non hanno granché da fare che sia un intel, un amd, un arm(vanno riprogettati lato hardware)

Stefano Disabato

Con meltdown potranno pure correggere lato software con delle patch.....ma con spectre non hanno granché da fare che sia un intel un amd o arm(vanno riprogettati lato hardware)

MattiaG

Grazie per la spiegazione chiara. Perdona la domanda. Ma le varie patch che stanno distribuendo adesso, cosa vanno a chiudere? E quale sarà quella più difficile da chiudere?

delpinsky

Come ho scritto sotto, il mio 4790K è sì di 4° generazione ma è un i7 da 22nm e non 45/32nm. Non sono sicuro di essere al sicuro al 100% :D Leggendolo così, sì...

delpinsky

Intel® Core™ i7 processor (45nm and 32nm) e 4th generation Intel® Core™ processors. Io rientro nella seconda lista con il mio 4790K, ma non nella prima, visto che il mio i7 è a 22nm. In teoria sarei salvo...boh :D ero così fiero del mio benchmak con CPU-Z:

Your position (multi-thread only)

Intel Core i7-6700K 2364

Intel Core i7-7700 2363

Intel Core i7-4790K 2360 (io)

Giulio Piemonte

No, ma ai vertici avranno dovuto cercare un agnello sacrificale e lui si sarà immolato "in quanto CEO" ma con delle garanzie. Anche perché dopo un patacrack del genere non so quante aziende possano essere interessate a prenderlo così nell'immediato

Danilo

quella lista non quadra perché poi sotto dicono:
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors

Che diavolo vuol dire??? xD anche la serie "i" fa parte della sere intel core. Forse volevano segnalare che sono afflitti anche i serie "i" delle generazioni precedenti.

page92

quindi secondo voi al momento consigliate di utilizzare più mozilla che chrome?

uncletoma

E, a questo punto, neppure il mio i5 sempre Haswell :)

artick82

Domanda, considerando le ultime informazioni, che faranno con i nuovi processori presentati ma non ancora in vendita?

LaVeraVerità

Quando si dice che una immagine vale più di mille parole...

Ganjalf

Già

Snarkface08

Ah, praticamente è migliorato?

Gianluca Del Brusco

Ho scritto anche poco più su che in ambito utilizzo casalingo giochi internet ecc.. non ci sono perdite di performance, al massimo le macchine virtuali di virtuale box o kvm vanno un po più lente e ci può stare in ambito data center le cose si fanno rognose per i db i Web server e per carichi di lavoro elevati di tipo i/o

Gianluca Del Brusco

Guarda Intel fa così per limitare i danni. Le cpu Intel sono vulnerabili a tutte 3 le varianti indicate ovvero le 2 varianti di spectre (più difficili da usare) e anche alla 3 meltdown. Amd e arm sono vulnerabili solo ad 1 variante di spectre che ripeto si è più difficile da usare ma è anche più rognosa da correggere amd sembra però avere una soluzione software con impatto 0 performance

delpinsky

The following Intel-based platforms are impacted by this issue....
Intel® Core™ i7 processor (45nm and 32nm)

Quindi in teoria, per adesso, finché non aggiornano la lista delle CPU, il mio Core i7 4790K, Haswell, 22nm non dovrebbe essere afflitto dalle due vulnerabilità...

Simone

Grazie mille

M3r71n0

XD XD XD

TroUblE

Allora domani uscirà la notizia che è affetta di qualche strano bug anche ogni scheda NVIDIA e AMD xD

Nigellus Blake

https://uploads.disquscdn.c...

Emiliano Frangella

Sui test specifici ok.
Io dico in ambito normale.
Vedi anche poco sotto Ganjalf cosa ha messo.
Perde poco su un 6500

Domenico Belfiore

Anche io sono soddisfatto della serie vecchia U ma diciamola tutta non era per confrontare ma bensì per sottolineare che se erano un poco limitati nei task ora lo sono di più

Simply

Sinceramente ne sono abbastanza soddisfatto, tenendo conto che e´un dual core a 15w. Infatti il mio e´un paragone rispetto a come si comportava prima, non rispetto ad altri processori.

The Supreme Mat

Mi informerò, grazie del suggerimento :)

Pussydestroyervodka

Grazie la risposta che cercavo

Ganjalf

Confronto usando userbenchmark, prima e dopo la patch https://uploads.disquscdn.c...

Vittorio Romano

Gli zenFone 2 Intel sono supportati da lineage. Ti consiglio di flasharla, é ottima.
Basta sbloccare il bootloader, fare il root, mettere la twrp recovery e fare il wipe di tutto. Esistono moltissimi tutorial a riguardo

Cesoia

Pensa io ho un Core2 Duo di prima generazione e non ne sono affetto.

Domenico Belfiore

Purtroppo la vecchia serie U era decisamente Castrato con i soli 2 core ora Questa patch ne peggiora solo la situazione

Cesoia

Infatti,sono dei perfetti arroganti.Mi fanno partire l'embolo ogni volta che li leggo.Con quest'atteggiamento mi sento maggiormente preso in giro!

Simply

Piccolo resoconto dopo un giorno con la patch:
in modalità risparmio energetico a batteria il notebook (i5 6200u) lagga su chrome come non aveva mai fatto. Soprattutto il passaggio in un video su youtube a schermo intero mentre si guarda in full-hd. Impostando sia a batteria che a rete la modalità prestazioni massime non si notato rallentamenti su tasks basici (multitasking medio). Appena si accende una vm con molte schede di un browser aperte, i lagghettini si avvertono altro ché. Spero che col tempo la questione si aggiusti.

Simply

"For non-Intel based systems please contact your system manufacturer or microprocessor vendor (AMD, ARM, Qualcomm, etc.) for updates."

Praticamente vogliono puntualizzare che sia il problema non sia solo il loro. È come ritrovarsi su una pagina nel sito di apple con scritto "se avete problemi su dispositivi android chiedete a google". Secondo me assurdo.

Raiden

Perché vuole fare il simpaticone e fa battute idiote

Cesoia

La lista delle CPU Intel affette:

https :// security-center. intel. com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Ottimo!!! Quindi il mio NAS con Atom 230 è relativamente al sicuro... XD

Maurizio Mugelli

esempio terra terra, giusto a titolo esplicativo - diciamo stai lavorando con una word a 32bit che contiene soltanto un byte di dati, ad esempio la lettera M in ascii (77), date le ottimizzazioni del processore il trasferimento dalla l1 e fra registro e registro richiede soltanto il tempo necessario a trasferire il byte di dati effettivi, non l'intera word "vuota" quindi hai gia' un idea di quanto sia grande il contenuto di quella word ma non del contenuto.
inizia a sommarci un altro dato - ad esempio aggiunci 1 e rispostala, la latenza rimane la stessa.
pero' se ci aggiungi 180 vai oltre la capienza del byte (0-255), il sistema non puo' piu' ottimizzarlo come un singolo byte e quindi spostandolo fra registri la latenza aumenta, di conseguenza sei arrivato a scoprire che il contenuto e' una M semplicemente dal variare della latenza sulla base delle istruzioni operate, senza aver bisogno di ottenerne il risultato...

ovviamente e' molto piu' complesso di cosi' ma penso renda piu' o meno l'idea del concetto di base

Cesoia

Magari più che una genialata è semplicemente la risposta di uno allo stesso livello del cicciobello che ha deriso. Magari la visita psichiatrica è stata chiesta quando era evidente con chi avevano a che fare...

Gianluca Del Brusco

Ma in verità i7 8700k perde circa il 17% nella compilazione, sono stati eseguiti dei test prima e dopo la patch su so linux e ancora peggio su db hanno usato per test postgress

MasterBlatter

Non è proprio così, sceglie uno dei due, prendendoci al 90%

FabioGr

un desktop assemblato da me un paio d'anni fa... l'aggiornamento arriverà a tutti a "scaglioni" entro pochi giorni

MasterBlatter

Peccato le tasse le abbia tagliate solo a ricconi e megaziende
Chissà chi pagherà per loro

MasterBlatter

Perché è quello che farebbero loro se ne avessero la possibilità

M3r71n0

https://uploads.disquscdn.c...

Gianluca Del Brusco

Il problema riguarda nello specifico performance su i/o intensivi, carichi di rete elevati e in particolar modo i database. In sostanza tutte cose da data center a noi comuni utilizzatori al massimo ai rallenta virtuale box o kvm diciamo che su uso casalingo ci può stare

Arch Stanton

E allora evviva i pazzi che tagliano 1500 miliardi di tasse e portano la disoccupazione al livello più basso da 17 anni, smettono di finanziare i colpi di Stato in Siria e contrastano finalmente il regime iraniano e nordcoreano potenziati dalla inettitudine e dal temporeggiamentodi Obama.

Huawei MateBook: X Pro 2019 e 14 ufficiali, prezzi Italia del 13 | VIDEO

Recensione Lenovo Yoga Book C930: il ritorno del convertibile 4 in 1

Devolo Magic 2: Powerline a 2400 Mbps e Wi-Fi Mesh | Video

Xiaomi Notebook Pro e MacOS: binomio possibile? Video