Tento týden hýbou světem IT dvě zranitelnosti odhalené v moderních procesorech - Meltdown a Spectre. Svým rozsahem se jedná možná o dosud největší odhalený bezpečnostní problém. Meltdown umožňuje obejít základní izolaci aplikací a operačního systému a zpřístupnit obsah paměti a tedy i citlivé informace systému a ostatních programů. Spectre pak umožňuje obejít izolaci mezi jednotlivými aplikacemi a dovoluje útočníkovi přesvědčit správně fungující aplikace, aby mu vyzradily své citlivé informace.

Týká se tento problém také mě?

S největší pravděpodobností ano. Zranitelností Meltdown jsou zasaženy všechny procesory od Intelu od roku 1995 (kromě Intel Itanium a Intel Atom před rokem 2013). Není ovšem vyloučeno, že se problém může týkat také procesorů od AMD a ARM. Spectre se pak týká prakticky všech procesorů, potvrzené jsou minimálně ty od Intelu, AMD a ARM.

Jak se můžu bránit?

Správci kernelu ve Fedoře již před dvěma dny vydali aktualizaci s úpravou, která zabraňuje zneužití zranitelnosti Meltdown. Konkrétně se jedná o verzi balíčku 4.14.11 pro Fedoru 26 a 27 a 4.15 RC pro Rawhide. Pokud jste na tyto verze kernelu ještě neaktualizovali, učiňte tak co nejdříve, např. příkazem: sudo dnf --refresh update kernel (a restartováním počítače do nové verze jádra).

Oprava s sebou bohužel přináší také nepříjemné snížení výkonu. Jeho velikost se liší podle typu operací. Na těch, které vyžadují velké množství systémových volání, se propad projeví nejvíce. Podle počátečních měření se u běžného desktopového počítače propad výkonu pohybuje v průměru kolem 10 %, u nasazení v high computing performance to ale může být i 30 %.

Na opatření proti Spectre se i nadále pracuje v upstreamových projektech a Fedora jej poskytne hned, jakmile bude k dispozici.