Filiprino escribió:Primero: Google no descubrió las dos vulnerabilidades. Meltdown y Spectre se ha investigado con fondos de la UE y USA.
El trabajo de Google (Project Zero) solapa en algunas cuestiones con la investigación de Meltdown y Spectre.
Segundo, eso de que el impacto es nulo o despreciable no es cierto como tampoco lo es el comunicado de Intel de ayer. Dependerá de los programas que corras. Concretamente de la cantidad de veces que un programa quiera acceder al núcleo del sistema operativo (Linux o Windows NT).
Hay dos vulnerabilidades: Meltdown y Spectre.
Meltdown se puede evitar con un trabajo previo para el núcleo Linux llamado KAISER (ahora KPTI). En otros sistemas operativos están aplicando medidas similares. Meltdown sólo afecta a procesadores Intel.
Ejemplo de impacto en rendimiento:
https://twitter.com/timgostony/status/9 ... 2844248065Y aquí hablan de una pérdida del 2% cuando los juegos están limitados por procesador, sin haber sido aplicados todos los parches posibles. A saber: microcódigo que serialice instrucciones o cualquier otra cosa. Las vulnerabilidades son debidas a un uso imprudente de la ejecución fuera de orden.
Teniendo en cuenta que la ganancia entre generaciones de Intel se ha quedado en un 5% y aún puede que la pérdida de rendimiento sea mayor ... me parece un huevo.
AMD no pierde rendimiento por esta vulnerabilidad.
En cuanto a Spectre, no hay parche posible (Google sólo ha sacado un parche para un tipo concreto de salto, los de retorno de función). Eso sí, sólo ha sido probado e investigado con procesadores Intel. Por lo que para procesadores AMD habría que desarrollar un ataque desde cero. Además, varía entre cada modelo de procesador debido a que se basa en ataques de latencia. Google ha probado spectre con un AMD Pro (una APU derivada de Bulldozer), un AMD FX (Bulldozer también), un Cortex A-57 y un Intel Xeon de arquitectura Haswell.
El ataque Spectre se puede aplicar a Ryzen pero debes de conocer detalles de la arquitectura como el predictor de saltos. Si no sabes cómo funciona entonces no puedes atacar procesadores Ryzen. La explotabilidad de Spectre varía entre procesadores y no es trivial de aplicar aún conociendo su predictor de saltos al dedillo.
De todo este rollo la conclusión que se puede sacar es la siguiente: Intel tiene procesadores vulnerables a Meltdown y Spectre. AMD y ARM no son vulnerables a Meltdown. En cuanto a Spectre, se ven afectados procesadores antiguos por conocer los detalles de su funcionamiento interno. Procesadores modernos no se ven afectados, hasta que no se haga ingeniería inversa de su diseño. De todas formas seguramente AMD saque actualizaciones del microcódigo de Ryzen para que no les pillen con el carrito del helado.
https://meltdownattack.com/meltdown.pdf (Sección 7: Countermeasures).
https://spectreattack.com/spectre.pdf (Sección 7: Mitigation Options).
La seguridad por oscuridad nunca ha sido buena compañera. Y esperemos que próximas generaciones de procesadores (2020+) no sean vulnerables sin necesidad de perder hasta un 30% en entornos de servidores y hasta un 10% en entornos domésticos.
![[sati]](/images/smilies/nuevos2/demonio.gif "demoniaco")
![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
![[bye]](/images/smilies/nuevos2/adio.gif "adios")
. A no ser que vayas con el noscript en el navegador. ![[tomaaa]](/images/smilies/nuevos2/tomaa.gif "toma")
