Intel už má aktualizace mikrokódu proti díře Spectre pro všechna CPU od Skylake výš

18

Když se v lednu vynořily bezpečnostní zranitelnosti Meltdown a Spectre spočívající přímo v procesorech, měl Intel původně v plánu během krátké doby valnou většinu procesorů mladších pěti let pokrýt aktualizacemi mikrokódu, které pomáhají s ochranou proti druhé z obou chyb. Ovšem v této aktualizaci se objevila také závažná chyba způsobující pro změnu nestabilitu, takže distribuce musela být zastavena a čekání na aktualizace se hodně prodloužilo. Ovšem zdá se, že zdržení by už o moc delší být nemuselo.

V aktuálním updatu situace kolem updatů, který na webu Intelu zveřejnil Navin Shenoy ze serverové divize, firma hlásí, že opravená verze nového mikrokódu s ochranami proti Spectre je již hotová pro všechny aktuálně prodávané procesory. Finální verze tohoto firmwaru tedy evidentně prošla úspěšně testováním a je dostupná pro Skylake, Kaby Lake i Coffee Lake, jinak generace 6000, 7000 a 8000. Důležité je, že byl vydán také mikrokód pro serverové procesory Skylake, tedy aktuální Xeony (Skylake-SP) a Xeony D-2100. Pro ty naposled ještě nebyla, ačkoliv ji potřebují možná nejvíce. Tím pádem už je aktualizace i pro highendová Skylake-X na platformě X299.

intel-xeon-d-2100-bga-procesor-penize-1600
Xeon D-2100, čerstvě uvedený derivát Skylake-SP, již má také k dispozici opravný mikrokód

Blogpost Intelu to nezmiňuje, ale zároveň již od minula mají aktualizaci Atomová jádra včetně nejnovějších čipů Gemini Lake, takže většina prodávaných produktů je nyní opravená. Respektive, je opravená, pokud jde o zodpovědnost Intelu. Samotný mikrokód se totiž obvykle bude distribuovat skrze aktualizaci BIOSu (UEFI) základní desky, takže ji dostanete až prostřednictvím jejího výrobce (či výrobce počítače nebo notebooku). Než aktualizace projde vývojem a validací u těchto firem, uplyne obvykle nějaký další čas. Ovšem tak je to u aktualizací mikrokódu vždy.

Haswell a Broadwell brzo, Sandy a Ivy Bridge po něm

Pokud jde o procesory, které ještě aktualizace nemají, dokument Intelu k aktualizacím odhaluje, že procesory Haswell a Broadwell jsou nyní v beta fázi, takže je asi slušná šance, že by i pro ně mohla být finální oprava vydána během pár týdnů. Ve stádiu beta už ale podle přehledu jsou i procesory Ivy Bridge a Sandy Bridge z let 2011 a 2012. Ty minule Intel označoval jako „pre-beta“, což je fáze, v které se nyní nachází předcházející generace Nehalem/Westmere. Finální vydání oprav pro tyto Sandy/Ivy pravděpodobně přijde na řadu až po Broadwellu a Haswellu, které logicky mají prioritu.

sandybridge-wafer-intel
Wafer s procesory Sandy bridge

Pokud jde o již celkem staré, ale dnes stále použitelné procesory Core 2, u těch se status zatím nezměnil, Intel u nich píše, že oprava se nachází ve fázi plánování. Stále také platí, že nový mikrokód podle dokumentů eventuálně dostanou jen 45nm Core 2 s architekturou Penryn, nikoliv první vlna 65nm čipů s architekturou Conroe.

Z tabulky jinak zmizela zmínka o Cannon Lake, které jsme si dříve všimli. Důvodem by asi mohlo být, že tato CPU ještě nejsou oficiálně vydána. Šlo tak trochu o informační únik, za který jsme ale byli vděční, jelikož potvrdil existenci Cannon Lake bez grafiky či to, že tato architektura je stále na Spectre zranitelná.

Ohodnoťte tento článek!

18 KOMENTÁŘE

    • Pokud vím, tak právě pro Spectre v2 (branch target injection), jelikož ty mikrokódy zpřístupňují nové funkce sloužící k ovládání prediktoru větvení. Spectre v1 (bounds check bypass) jde jinou cestou a mělo by se řešit separátně čistě softwarovými cestami – v programech/kompilátorech.

  1. Takze jen pro pripomenuti, 3.1.2018 vypukla afera Spektra a zacalo silenstvi, ktereho se i autor tohoto clanku zucastnil jako aktivni „sileny“ novinar. Jiz 8.1.2018 Intel oznamil bezpecnostni aktualizaci a myslim 12.1.2018 zacala jeji distribuce, pricemz nasledkem bylo tisice a tisice znefunkcnelych pocitacu nebo aspon nestabilnich samorestartujicich pocitacu. Pres novinarskou snahu udrzet kauzu co nejdele behem lednove okurkove sezony na zivu, zacala afera pomalu utichat a jiz 22.2.2018 teda po 40 dnech od zpackane aktualizace Intel oznamuje, ze oprava je hotova pro procesory Skylake a novejsi.
    Ted jeste tak mesic na update BIOSu vyrobcu desek a nakonec Spektra dovysumi stejne jako spousta drivejsich afer.

    • Jsem rád, že jsi problematiku nastudoval, zjistil, že se odborníci mýlí a není potřeba nic řešit. Dále tě někdo vydíral nebo ti někdo vyhrožoval a ty jsi musel přečíst všechny články autora, kde o chybách informuje. Intel o chybě věděl od léta 6-7/2017 a vydal záplatu 1/2018 (za to mohl autor článku podle tebe?) Je fakt potřeba napsat příspěvek pod každý článek a ještě ze sebe dělat blbce?

      • To nevim, to nam klidne muzes prozradit.

        Intel o problemu vedel a pracoval na nem, ovsem nejspis kvuli lednovemu silenstvi vydal zaplatu predcasne a ta shodila tisice a tisice pocitacu. Proto ted vydava zaplatu novou, ktera uz doufejme bude bez problemu.

        • Nikdo Intel nenutil vydat záplatu neodladěnou, novináři pouze o problému informovali a postupně se informace doplňovaly. Tvé příspěvky jsou stále „zlí zlí novináři“, ale na vině je Intel, který jen mlžil. Naopak díky novinářům jsi se mohl sám rozhodnout, zda záplaty použít, či nikoliv. Dále tvůj názor, že se nepodařilo novinářům držet kauzu na živu – opět tvoje hloupost. Novináři o chybě informovali a pak pouze doplnili jak záplata vydaná Intelem způsobuje problémy, dále nebylo co nového zveřejňovat proto to utichlo, dokud Intel nevydá jinou opravu, nebo jsi čekal články ve stylu ani dnes Intel nic nevydal?

          • Asi zijes v nejakem alternativnim vesmiru, ale klidne se pdivej na ty zpravy, na netu prad jsou, neni to nic vic nez straseni uzivatelu pred zranitelnostmi, od kterych zadne realne zneuziti nehrozi.

            Takze novinari jsou jiste spoluzodpovedni za tu vyvolanou paniku, ve ktere vetsina lidi zcela bez rozmyslu zaplatovala. Jiste Intel ma velky dil zodpovednosti, za to ze netestoval a stejne nezodpovedne se choval i Microsoft. Dalo by se rici, ze Intel veril, ze bude testovat Microsoft a Microsoft veril, ze testoval Intel. Vysledek byl, ze netestoval nikdo a lidem to padalo jak prezrale hrusky.

            Ale mne je to jedno, ja mam na Win 10 pouze opravu OS, ale nemela by fungovat bez opravy mikrokodu, ktery jsem nenasadil a ve Win7 nemam ani softwarovy update OS ani opravu mikrokodu v BIOSu. Takze pohoda.

          • Znovu se mýlíš, díky novinářům se o problému začalo mluvit (Intel se jej snažil bagatelizovat), pak Intel vydal neodladěnou záplatu a znovu se o problému začalo psát, ale v souvislosti s problémy s tou záplatou. Kolik lidí si myslíš zvládne aktualizaci BIOSu? A do windows vydal záplatu Microsoft automaticky, takže u win10 nebyla možnost volby. O tom jak jsou chyby moc nebezpečné lze diskutovat, ale já poukazuji na tvé příspěvky, kde neustále napadáš novináře, že o problému psali. Ty by jsi raději žil v blažené nevědomosti, ale necpi to prosím ostatním. Novináři jen dělali svou práci, uživatelé mají částečnou možnost volby. Ty jen do každého článku píšeš svoje moudra, která bohužel ne vždy mají hlavu a patu. Zkus méně psát a více přemýšlet

          • Ne, ja nenapadam novinare, ze o problemu psali, me vadi, jak o tom problemu psali. Misto, aby doslo k realistickemu zhodnoceni, tak o tom psali ve stylu jako kdyby se odehrala svetova katastrofa, coz asi plati pro datacentra, ale rozhodne ne pro bezneho uzivatele a jedinny kdo referoval od zacatku nezaujate a realisticky byl Rybka z pct a neco no-X dýtu.

        • Redmarx:
          původní termín pro vydání informací a záplat byl údajně 10.1. To je rozdíl jenom týden a tím pádem je prakticky 100% jisté, že ten aktualizovaný mikrokód, který by Intel vydal bez toho spěchu by byl úplně stejný, akorát by možná aktualizace BIOSů od výrobců základních desek díky tomu byly venku už v den vydání informací, tj. byla by menší prodleva. Je asi určitá malá šance, že by se na ty problémy mezitím ještě stihlo přijít, ale vzhledem k tomu, že Intelu stejně trvalo několik dní, než to zhodnotil a distribuci zastavil, tak je skoro jisté, že by se chybový mikrokód stejně dostal do světa a týden-dva byl distribuován.

          A BTW, tu kauzu v podstatě spustil blog nějakého programátora, kterej si dal dohromady 1+1 z těch informací na ML a v komunikaci těch cloudových poskytovatelů. Tím se to dostalo ven, běžná média jako my pak už jen informovala.

    • Redmarx, s tím napadáním páně Olšana mě už se*reš.
      Od něho jsou nejlepší články. Sesbírá kde co všechno po internetu, přeloží, poskládá, vyargumentuje, má to hlavu a patu a hlavně informační hodnotu.
      Navíc nenapíše jeden článek a padla. Naopak se mě líbí, že to průběžně sleduje a referuje jak se to vyvíjí. Zrovna na tuto informaci čekám, jak to bude se záplatováním dále vypadat. Přitom jako linuxák mám už dávno padla se záplatami na Meltdown, Spectre v1 a v2 v prvním kole.
      Takže na můj procesor už čekám jen na aktualizaci BIOSu (ač mi mikrokód ,tak jako tak, dojde s aktualizací). A tu jsem se jako u prvního autora dočetl, že jednak mám naději a druhak „nezavěšujte, jste v pořadí“.
      Navíc, pokud jde o vyvolání paniky, tak jeho články to rozhodně nejsou. Ba naopak, paniku mírní a hlásí, že se průběžně na tom pracuje a jak to vypadá.
      Pokud je někdo lama a neumí si přebrat informace, vyhodnotit je a narve si do Woken hned první záplatu tak zásadního významu sotva vyjde, tak si pak nic jiného ani nezaslouží. I když M$ je známý tím, že ani obyčejné záplaty nemá odladěné a vyzkoušené.
      Já vím, mě se to jako linuxákovi mluví. Pokud by něco nevyšlo, tak během pár vteřin nabootuju do předchozích kernelů podle mého výběru a budu čekat, co se kde dočtu proč to nefunguje a co s tím. Ale woknaři to tak jednoduchý nemají. To chápu, že mají nervy, když je placený systém rozbitý a vrátit ho do původního stavu stojí hodně námahy a času. Pak hledají, kdo vlastně jim to nakukal bezhlavě záplatovat.

      • Jan Olšan píše nemohu si pomoct okolo Melta/Spektra zbytecne poplasne clanky, takze jsem si zvykl pod kazdym uvadet situaci na pravou miru a uklidnovat ji, protoze pro bezneho uzivatele se zadna katastrofa nestala a ta panika, ktera okolo toho panovala a kterou mi potvrdili i ruzne osobnosti typu Rybky nebo WIFTa, byla uplne zbytecna a jen novinari rozhecovana.

        Musim se ale ohradit, ze bych Olšana napadal, naopak si ho vazim a jeho clanky ctu rad, jen se s nim neshoduji v teto jedinne kauze Melta/Spektra.

        • Opravdu nepíše poplašné články. Naopak já, starý panikář, jsem v jeho článcích nabyl opět pozvolna se ztrácející duševní rovnováhu.
          Přisunul objektivní fakta co a jak, nebo je tak nějak lidsky podal pro lamy a průběžně informuje o vývoji.
          Totiž paniku nevyvolali novináři, ale jen a jen Intel svými nicneříkajícími prohlášeními. Takže opravdu to vypadalo, že se snaží ututlat tak velký malér, jaký tu ještě nebyl.
          Z mého hlediska mám radši, když by řekli, že se stalo to a to, bude se to řešit tak a tak, v termínech x a x, postihne to tyto oblasti využití CPU a podrobný způsob jak se to dá zneužít.
          Ale pokud si přečtu, že se snaží ututlat v cache pozůstatky např. šifrovacích klíčů, které lze přečíst (byť krkolomně) z uživatelského prostoru a nic víc k tomu podrobně, tak pak je na místě propadnout panice. Kdo tak neučinil po prvním oznámení chyby nejpozději 3. ledna, tak je lama nebo totální ignorant.
          No a pak to muselo dopadnout, jak to dopadlo. Nebýt novinářů, tak bych řekl, že do dneška bychom vůbec nevěděli co se děje. To, co oni pracně vymámili z Intelu nebo nějakými oklikami, tak to měl Intel vybalit naráz a všechno začátkem ledna.

          • Precti si clanek od Rybky na pct. Tam je prave vysvetleno, jak to cele funguje a ze lokalni zneuzitelnost je mozna jen pres nejakou dalsi zneuzitelnost, tudiz mluvime vicemene o teorii, kdy by uzivatel musel nejprve pocitac kompromitovat jinak a pak teprve by mohlo dojit k te resene kompromitaci.

            Jina situace je na virtualnich pocitacich, kde muze uzivatel jednoho virtualniho systemu cist oddelena data jineho. To je samozrejme na palici, ale nas beznych uzivatelu, kteri nic nevirtualizujem se to netyka.

            A o tom byly celou dobu me namitky, ze se resi situace mezi normalnimi uzivateli, ktera u nich nejspis nikdy nenastane. Nikdy jsem nemel pocit, ze by Intel vyvolaval nejakou paniku, spis byl za tu obet. Ale to ze situaci nedokazal zklidnit jasne ukazalo jeho nekompetenci, ktera byla ale znama uz od listopadu, kdy bez vetsiho povsimnuti medii prosla Intelu chyba mnohem vetsiho rozsahu nez cela Melta/Spektra a to chyba v Intel Management Engine, ktery je soucasti firmwaru pocitace.

          • Pro pořádek: to by byla pravda, kdyby se na to nedalo útočit javascriptem přímo z navštívených webových stránek – což se bohužel dá.