Il giorno 12 gennaio 2018 10:37, Sergio ALMERARES <[email protected]> ha scritto:
> Ciao a tutti, > > Segnalo il seguente articolo su quanto in oggetto: > > https://blog.cloudflare.com/meltdown-spectre-non-technical/ > > > > Mi pare utile per capire in maniera chiara questi recenti bug, > > e a dimostrazione che quando si capiscono le cose si riesce poi a > spiegarle in maniera semplice. > Grazie. Aggiungo una nota: sebbene Meltdown e Spectre vengano spesso mostrati come due facce della stessa medaglia, sono due problemi differenti, anzi tre. Con Spectre si fa riferimento alle varianti 1 e 2 della vulnerabilità, mentre con Meltdown si fa riferimento alla variante 3. Variante 1 (Spectre): quasi tutti i processori in circolazione sono affetti dalla variante 1 (che si mitiga con la patch Retpoline per Linux + alcune patch per il compilatore). Variante 2 (Spectre): Intel e ARM confermati, nessuna vulnerabilità confermata per AMD (stessa soluzione della prima variante, ma la patch per AMD è più semplice). Variante 3 (Meltdown): solo processori Intel (si mitiga con il nuovo KPTI del kernel Linux, che viene attivato solo su CPU Intel) ed un paio di modelli ARM. Tutti i processori Intel dal 1995 ad oggi potrebbero esserne affetti, ad esclusione di Atom ed Itanium. Della possibilità che un attacco come Meltdown potesse essere effettivo contro i processori Intel se ne parla da una decina di anni. Per chi fosse interessato, c'è questa discussione del 2007, dove Theo de Raadt (creatore di OpenBSD) discute della questione criticando duramente Intel: "These processors are buggy as hell, and some of these bugs don't just cause development/debugging problems, but will *ASSUREDLY* be exploitable from userland code." Fonte: https://marc.info/?l=openbsd-misc&m=118296441702631&w=2 De Raadt è tornato negli ultimi giorni sulla questione, criticando nuovamente Intel per la sua negligenza e per il tentativo di fare confusione tra Meltdown e Spectre come se si trattassero dello stesso problema: "Intel engineers attended the same conferences as other company engineers, and read the same papers about performance enhancing strategies – so it is hard to believe they ignored the risky aspects. I bet they were instructed to ignore the risk [...] It is a scandal, and I want repaired processors for free. I don't care if they are 30% slower, as long as they work to spec. Intel has been exceedingly clever to mix Meltdown (speculative loads) with a separate issue (Spectre). This is pulling the wool over the public's eyes." Fonte: https://www.itwire.com/security/81338-handling-of-cpu-bug-disclosure-incredibly-bad-openbsd-s-de-raadt.html La reazione del creatore di Linux, Linus Torvalds: "[...] Is Intel basically saying 'we are committed to selling you shit forever and ever, and never fixing anything'?" Fonte: https://lkml.org/lkml/2018/1/3/797 L'impatto combinato di Retpoline + KPTI sui processori Intel nei benchmark che fanno molte operazioni di I/O porta ad una riduzione delle prestazioni fino al -25 % (in un caso oltre il -70 %): https://www.phoronix.com/scan.php?page=news_item&px=KPTI-Retpoline-Combined-Ubuntu Buona giornata, Frafra
_______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it Proponi la tua idea per una delle nostre serate: http://brigx.it/feedback
