Intel má bezpečnostní díry v integrovaných GPU čipů od Ivy Bridge po Comet Lake

Integrované grafiky Intelu mají zranitelnosti umožňující krádež dat. CPU Ivy Bridge, Haswell, vše na bázi Skylake i některé Atomy potřebují update ovladačů.

22

Hardwarové chyby přinášející bezpečnostní zranitelnosti do procesorů, toť „oblíbená“ náplň posledních dvou let (převratné odhalení děr Spectre a Meltdown nastalo začátkem roku 2018). A vypadá to, že tu máme další kolo, jen to tenkrát není úplně v jádrech CPU, ale v integrovaných grafikách, konkrétně od Intelu. Chyba v návrhu umožňuje kódu běžícímu na GPU neoprávněně číst data z paměti jiných programů, což jakožto bezpečnostní riziko musí být opraveno. Bohužel tato oprava může u starších GPU stát nějaký ten výkon.

 

Slabá místa v iGPU potřebují softwarové záplaty

V čem má Intel integrovaná GPU děravá, příliš konkrétně neprozradil. Loni v srpnu ale pod informačním embargem byla odhalena slabina, spočívající v tom, že GPU mají chyby, kde jsou u určitých datových struktur nedostatky v „control flow“, tedy vymáhání správného pořadí operací. Je to hodně vágní, patrně to však znamená, že není v každém momentu pohlídána /synchronizace dat v interních pamětech a může se stát, že při změně kontextu může být zpřístupněn nesprávný obsah registrů či pamětí cache a jeden proces může přečíst, co měl v paměti jiný. Podle Intelu chyba umožňuje únik informací. Jde asi o paměť GPU, takže by šlo zejména to, s čím pracují o grafické operace, nicméně pořád může jít o citlivé operace, které by nějaký špionážní malware mohl zneužít.

Zranitelnost s číslem CVE-2019-14615 je lokální, útočník musí mít možnost spustit na PC svůj kód (ale nemusí mít administrátorský přístup). Díra by tedy neměla být využitelná ke konvenčnímu vzdálenému útoku. Ovšem asi je zde možnost, aby ji zneužila třeba webová stránka přes prohlížeč pomocí technologie WebGL. Zda je to teoreticky možné, nebylo sděleno.

Intel považuje závažnost za jen střední a pro většinu uživatelů asi není velkých důvodů k obavám, riziko zneužití je asi relativně menší.

Bezpecnostni chyba CVE 2019 14615 v integrovanych GPU Intel
Bezpečnostní chyba CVE-2019-14615 v integrovaných GPU Intel

Tato chyba se týká procesorů počínajíc Intel Core 3. generace, tedy prvních 22nm Ivy Bridge, až po všechny dnešní deriváty Skylake (tedy i Kaby Lake, Coffee Lake a také 10. generaci Comet Lake), které nesou integrované grafiky Gen7 (Ivy Bridge), Gen7.5 (Haswell), a Gen9 (Skylake+). Starší CPU mezi nimi Intel neuvádí, takže se Sandy Bridge byste mohli být snad z obliga – doufejme, že to není jen proto, že už je Intel nepodporuje aktualizacemi ovladačů. Novější grafiky Gen11 a Xe v 10nm CPU jsou naštěstí asi imunní. A výjimkou jsou ještě Broadwelly s grafikou Gen8 – tam údajně už Intel opravoval nějakou jinou chybu, jejíž záplata nynější chybu také vykryla.

Kromě velkých procesorů Core mají ovšem úplně stejný problém mít také GPU v úsporných/levných Atomech a na nich založených Celeronech a Pentiích. Bay Trail, Apollo LakeGemini Lake jsou zdá se postižené.

Verze ovladacu s opravami bezpecnostnich chyb v integrovanem GPU Intel
Verze ovladačů, které obsahují opravy bezpečnostní chyby CVE-2019-14615 v integrovaném GPU Intel

Opravy jsou v nových ovladačích GPU

Intel k zalátání této chyby vydal aktualizace ovladačů pro Windows a také patche pro Linux – měly by být k mání již v tuto chvíli, takže je už můžete stahovat (a jako u všech bezpečnostních aktualizací vám doporučujeme to udělat).

Určitá komplikace je u starších čipů Bay Trail, Ivy Bridge a Haswell s GGPU Gen7/7.5. Tam je totiž uvedeno, že nyní vydané ovladače nemají na platformě Windows 10 v tuto chvíli opravy 100% účinné. Aktualizace by měly přinést určitou míru ochrany a výrazně zredukovat míru zranitelnosti. Na Linuxu by měl mít nyní dostupný kód již ochrany kompletní. Vlastníci tohoto hardwaru ale nebudou ponecháni na holičkách, Intel uvádí, že pracuje na dokončení oprav i v ovladačích pro Windows a v budoucnu by měla tato definitivní ochrana být doplněna dalšími aktualizacemi ovladačů grafiky. Zatím ji čeká testování a ověřování, které asi Intel nestihl před termínem zveřejnění chyby.

Na Haswellu a Ivy ztrácí integrované GPU dost výkonu…

Oprava spočívá zřejmě v tom, že se při přepínání kontextu vyprazdňuje paměť/registry (tzv. execution state) výpočetních jednotek EU v GPU. U Skylake má pro to zřejmě hardware už na místě patřičné funkce, ale u Haswellu a Ivy Bridge a Bay Trailu je kvůli tomu vždy potřeba spustit v rámci ovladačů speciální kód – proto asi ty problémy s opravou u Windows. Bohužel to vypadá, že tato verze opravy (minimálně na Linuxu) stojí GPU dost výkonu, podle testu Phoronixu je dopad poměrně drastický.

Propad vykonu GPU po opravach na Intel Core i7 4790K
Propad výkonu GPU po opravách na Intel Core i7-4790K (Zdroj: Phoronix)

…ale ještě by to mohlo být opraveno

Nicméně asi ještě není definitivní, Intel chce údajně provést nějaké optimalizace, které snad propad výkonu zmírní. Současná verze pro Linux je zdá se zcela neoptimalizovaná a Intel snad dokonce slibuje, že by finální verze mohla být prakticky bez měřitelného dopadu, což by bylo pozitivní (a doufejme to bude platit i pro Windows). Ovšem asi i nějaké jen jednociferné propady by nebyly problém. Na grafikách Haswell a Ivy Bridge už asi nikdo moc hry nehraje, tak snad ztráta výkonu nebude nikoho moc bolet. Toto se každopádně týká jen oprav pro Ivy Bridge a Haswell, u GPU generace Skylake/Gen9 a pozdějších toto snad není.

Galerie: Odhalení GPU architektury Intel Xe HPC, OneAPI a GPU Ponte Vecchio pro superpočítač Aurora

Intel má bezpečnostní díry v integrovaných GPU čipů od Ivy Bridge po Comet Lake
Ohodnoťte tento článek!
4.8 (95.45%) 22 hlas/ů

22 KOMENTÁŘE

      • No ono je to ale +-pravda. Pokud se na tom nehraje, tak 3D výkon je málo důležitý.

        Problém by byl, pokud by to zpomalení vedlo k tomu, že bude mít GUI programů/OS línou odezvu nebo tak něco. Pokud k tomuhle nedochází, tak většině uživatelů tohle neublíží. Ještě možná pokud s iGPU používají třeba MadVR při koukání na video, ale s Intelem asi většinou budou mít DXVA škálování…

        • No to určitě není pravda, copak on na tom nikdo nehraje? Aha, tak Steam asi kecá…
          To, že tam lidi píšou, že jim s patchem ntb vydrží o 25% míň na baterku to je další věc, na kterou by se bylo dobré zaměřit.

          • Tak staci treba WOT, kdysi jsem to hraval na notasu integraci v nejakem i7 3xxxU. Myslim, ze jako nouzovku se ten integrac na notasu obcas pouziva. Desktop, tam je to spis pase.
            Jinak na QuickSync by to snad dopad mit nemelo, coz byl alfa-omega duvod nekterych k nakupu Intel CPU 😉

        • To je dost přezíravý pohled. Člověk na tom může hrát hry / používat grafické programy / stříhat video úplně stejně, jako v době, kdy to kupoval. Už mě ten Intel docela začíná s*át. Chápu, že chybička se občas vloudí, jsem konstruktér, takže pro to mám pochopení, všichni jsme jenom lidi. Ale těch chyb u Intelu už se objevilo ku*va dost na to, aby se někdo chytil za hlavu a začal s tím něco dělat. A vydat patch, který degraduje výkon o 50% není to “něco”, co mám na mysli. Kdyby se tolik průšvihů s podobně debi*ním řešením objevilo u aut (= po opravě má motor ze 100 kW jenom 50 kW), tak ta automobilka už dávno zkrachovala. Člověk si koupil nějaký výrobek, který měl v době koupě nějaké parametry a pokud se po čase kvůli chybě ty parametry změní k horšímu, tak je to jednoduše porušení kupní smlouvy a mělo by se to řešit třeba finanční kompenzací (byť třeba adekvátní stáří výrobku, ale IT technika dneska stárne hodně pomalu). A nebo by přinejmenším měl ten patch být volitelný, aby si člověk mohl svobodně zvážit poměr rizika a ztráty výkonu a rozhodnout se, jestli to chce. A ne, že to absolutně dorazí tím, že to nacpou mezi aktualizace ovladačů Windows a těch se normální cestou nedá zbavit, takže se dříve nebo později povinně nainstalují všem.

          • Hmm, asi mám holt špatnou představu o tom, jak lidi tu integrovanou grafiku používají… doufejme, že teda finálně ten propad výkonu nebude tak výrazný.

            Moc nevím, jak reálné by bylo nějaké odškodňování. Něco na tom samozřejmě je, ale z praktického hlediska, když si představím, že by se to týkalo produkce z posledních 7-8 let (2012-2020), tak to je šílené. U softwaru mi třeba přijde, že tam chyby jsou prakticky nevyhnutelné a ty CPU jsou tak komplexní a obtíženěji testovatelné/opravitelné, že je to tam asi stejně beznadějné, takže pokud by za chyby byla nějaká drastická forma finanční odpovědnosti, tak by to mohlo být smrtící.
            Asi by to Intel i ustál, ale když si představím, že by mělo takový průšvih AMD…
            To s tím, že těch chyb je hodně, je taky pravda.