В этом году выставка CES 2018 прошла в тени обсуждения уязвимостей Spectre и Meltdown, и практически каждая беседа на мероприятии обращалась к этой теме. Журналисты TechCrunch тоже воспользовались возможностью обсудить проблему с исполнительным директором ARM Саймоном Сегарсом (Simon Segars), который рассказал о безопасности, вскрытых проблемах спекулятивных вычислений современных процессоров и борьбе с ними.
Прежде всего господин Сегарс отметил, что вскрытые уязвимости показали, как много в настоящее время существует микропроцессоров. Затем он подчеркнул, что Spectre и Meltdown используют архитектурные особенности высокопроизводительных процессоров, а ARM продаёт лицензии преимущественно на чипы иного плана, так что лишь 5 % решений, использующих её архитектуры, подвержены атакам. Чтобы лучше понять масштабы этих 5 %, нужно отметить, что в настоящее время выпущено, по словам руководителя, более 120 миллиардов чипов, использующих тот или иной дизайн ARM.
Поэтому если говорить только о CPU для смартфонов или планшетов, то процент уязвимых устройств окажется гораздо больше: в той или иной степени атакам подвержены такие популярные ядра, как Cortex-A57, A72 или A9 (наряду с менее распространёнными A8, A15, A17, A73 и A75, а также R7 и R8). Более распространённые CPU-ядра ARM вроде Cortex-A7 или Cortex-A53 не подвержены уязвимостям вообще. Впрочем, речь идёт об эталонном дизайне: лицензиаты подчас вносят весьма серьёзные изменения и, например, все процессоры Apple A подвержены как Spectre, так и Meltdown. NVIDIA тоже выпускает заплатки для своих устройств на базе однокристальных систем Tegra. Подробнее о проблеме ARM рассказывает на своём сайте (19 января компания выпустила ряд дополнительных разъяснений). Там же она обещает, что все будущие её процессоры серии Cortex будут либо полностью неуязвимы к такому типу атак, либо позволят избежать их с помощью уже выпущенных заплаток для ядра ОС.
Саймон Сегарс отметил, что уже вышли обновления для операционных систем (включая, конечно, Android) против обсуждаемых уязвимостей. Тогда журналист спросил у него, как скажутся подобные заплатки на производительности устройств с чипами ARM. Руководитель ответил уклончиво: «Честно говоря, пока рано об этом говорить. Это в высокой степени будет зависеть от типа задач, от конкретного приложения». Впрочем, он сказал, что в некоторых задачах, требующих высокой производительности, скорость снизится, а также добавил: «В большинстве случаев, с которыми имеют дело пользователи — сёрфинг в Интернете, электронная почта и многие другие варианты работы мобильных устройств, — разница не будет заметной».
Журналист задал руководителю ARM вопрос и о том, что компания собирается делать, дабы избежать подобных проблем в будущем, ведь, как показала практика, аппаратные уязвимости могут быть обнаружены спустя годы. Господин Сегарс подчеркнул, что в случае с Meltdown и Spectre возможны программные заплатки, устраняющие проблему. Поэтому индустрии, по его мнению, нужно развиваться в сторону мира, в котором все подключённые к Сети устройства вроде «Интернета вещей» (IoT), телевизоров или иных составляющих «Умного дома» могли бы получать программные обновления безопасности во всё время своего жизненного цикла. Ведь сегодня подобная современная электроника подчас поставляется уже с довольно продвинутыми чипами и собственными ОС, но без механизма обновления ПО. ARM активно трудится в этом направлении, потому что рассматривает IoT в качестве огромной возможности для себя и надеется на будущее, где будут триллионы подключаемых устройств, оснащённых чипами с её архитектурами.
В целом же ситуация с Meltdown и Spectre не вызывает особого оптимизма. Microsoft после длительной паузы, наконец, возобновила выпуск обновлений для всех процессоров AMD (раньше некоторые системы с чипами вроде Opteron, Athlon и Turion X2 Ultra переставали загружаться). С обновлениями для Intel и Apple тоже не всё гладко: поступают массовые жалобы на случайные перезагрузки Windows-компьютеров и iOS-устройств после установки обновлений. Разгневанные потребители оформляют коллективные иски против производителей. Судя по происходящему, Spectre и Meltdown, как и предполагалось, будут ещё долго терзать IT-индустрию.
Источник: