Meltdown
Zranitelnost nazvaná Meltdown umožňuje číst programům data z chráněné paměti jádra, kam by normálně neměly mít přístup. Způsobuje to chyba v procesorech Intel, která při zneužití „odstaví“ všechny ochranné mechanismy a aplikace se tak dostane k aktuálním záznamům v paměti jádra. Zachytit lze nejen hesla, ale i šifrovací klíče a další citlivé informace.
Způsob, jak zranitelnost ošetřit, vyžaduje zavedení ještě striktnějšího oddělení běhu programů a jádra. Při tom ale hrozí výkonnostní penalizace. Po aplikaci záplaty lze očekávat snížení výkonu až o 30 %, velmi ale záleží na tom, jaké operace systém vykonává. Největší dopad bude mít patch pravděpodobně u serverů a dalších pracovních stanic, kde se pracuje s databázemi či velkými objemy dat. Takový pokles výkonu již reportovaly některé uživatelské testy (via theregister.co.uk):
PostgreSQL SELECT 1 with the KPTI workaround for Intel CPU vulnerability https://t.co/N9gSvML2Fo
— The Register (@TheRegister) 2. ledna 2018
Best case: 17% slowdown
Worst case: 23%
Čísla proto nelze brát na lehkou váhu. Na druhou stranu, benchmarky jsou jedna věc, záležet ale bude především na ostrém provozu. Umíme si představit, že Intel bude s obchodními partnery spolupracovat, aby propady výkonu minimalizoval.
To se týká i největších hráčů na trhu. Amazon, Google i Microsoft, kteří provozují velkou serverovou infrastrukturu, chystají v nadcházejících dnech dočasné vypnutí svých služeb z důvodů údržby a pravděpodobně i aplikace záplaty. I těm tedy bude hrozit výkonnostní propad. No bude to ještě zajímavé.
U domácích uživatelů a hráčů by k výraznému poklesu výkonu dojít nemělo. Titulky webů v posledních dnech sice mohly vyvolat opačný dojem, nic takového ale zatím nebylo potvrzeno.
Microsoft už každopádně vydal kritickou aktualizaci, která je od 3. 1. distribuována na systémy Windows. Vliv záplaty na výkon systému s Windows 10 například otestovala redakce webu Guru3D.
Z měření vyplývá, že pokles po instalaci patche je měřitelný, ale odchylky jsou zanedbatelné. Největší rozdíl je patrný u testu komprese 7zip, kde je penalizace 5 %. U ostatních testů, včetně her, se jedná o jednotky procent, přibližující se chybě měření. V reálném provozu si tedy pravděpodobně ničeho nevšimnete.
Kritický patch pro poslední build Windows 10 je zařazen do balíku oprav KB4056892. Pravděpodobně byl už na váš systém nainstalován (instalovaly se při vypínání počítače aktualizace nebo po vás systém restart vyžadoval? Tak už ho máte). Ověřit si to lze samozřejmě ručně ve Windows Update. Existují i patche pro Windows 7 (KB4056897) a Windows 8.1 (KB4056898).
Spectre
Jedná se o chybu, která zasahuje prakticky všechny výpočetní systémy. Zranitelnost byla potvrzena u procesorů Intel, AMD i ARM.
Zneužití chyby umožňuje získat neoprávněný přístup k datům jiného programu. Funguje to bohužel také u aplikací, které byly navrženy s ohledem na bezpečnost. Paradoxně, jak tvrdí výzkumníci, dobře navržený program ještě zvyšuje šance na úspěšný útok.
Oprava Spectre je složitější a bude v důsledku vyžadovat přepracování procesorových architektur, což znamená, že s ní budeme muset žít ještě poměrně dlouhou dobu. Naštěstí je podstatně obtížnější provést útok a existují také záplaty na známé chyby, které zranitelnosti Spectre využívají.
