Existem pequenos problemas e grandes problemas. Esta aqui é um problema imenso: praticamente todos os processadores Intel produzidos na década passada possuem uma grande brecha de segurança que permite que “programas no espaço do usuário – desde aplicações de banco de dados a JavaScript em navegadores – identifiquem até certo ponto o layout ou conteúdo das áreas de memória protegidas pelo kernel”, como noticia o Register.
• A Intel finalmente está trabalhando numa placa de vídeo de verdade
• [Review] Os novos processadores Coffee Lake da Intel são bem rápidos, mas têm um porém
Basicamente, os processadores modernos da Intel possuem uma falha de projeto que permite que programas maliciosos leiam áreas protegidas da memória do kernel de um dispositivo (esta memória é dedicada para os componentes centrais e essenciais de um sistema operacional e de suas interações com o hardware). A falha pode permitir a exposição de informações protegidas como senhas. O erro está baseado no hardware x86-64 da Intel e é necessária uma correção a nível de sistema operacional para resolver o problema – em todos os principais sistemas, incluindo Windows, Linux e macOS.
Os detalhes exatos da falha de projeto e do tamanho da base de usuários que estão vulneráveis ainda é mantido em segredo, de acordo com o Register. Apesar disso, desenvolvedores já estão correndo para consertar a falha nos sistemas operacionais e querem liberar uma atualização nas próximas semanas, o que é um indício de uma falha bem grave. Em um cenário especulativo absolutamente ruim, algo simples como um JavaScript rodando em uma página da internet ou um malware hospedado na nuvem poderiam ter acesso a algumas das tarefas mais sensíveis de um dispositivo com processador Intel.
A correção da falha implica limitar completamente a memória do kernel dos processos de usuários e isso pode significar uma grande queda na performance nos sistemas corrigidos, “entre 5% e 30% de perda, dependendo da tarefa e do modelo do processador”:
Essas correções KPTI [Kernel Page Table Isolation] movem o kernel para um espaço de adereçamento completamento separado, então ele não é apenas invisível ao processo que está rodando, ele sequer está disponível. Realmente, isso não deveria ser necessário, mas claramente existe uma falha da Intel que permite que as proteções de acesso do kernel sejam contornadas de alguma forma.
A desvantagem dessa separação é que se trata de algo relativamente caro, em termos de tempo, manter a alternância entre dois espaços separados para cada chamada do sistema e para cada interrupção do hardware. Essas alternâncias de contexto não acontecem instantaneamente, e elas forçam o processador e limpar os dados de cache e recarregar as informações da memória. Isso aumenta a carga do kernel e diminui o desempenho do computador.
Sua máquina com um processador Intel rodaria mais lenta.
Uma queda de 5% a 30% de performance é muito significativa, mas todo o silêncio e segredo mantido até agora torna difícil dizer o quão notável seria o impacto para os consumidores – sistemas de escala empresarial, como computação na nuvem, têm mais chances de serem afetadas com gravidade. Para o usuário comum, é possível que esse impacto sequer seja sentido. É possível também que exista uma implementação melhor da solução em atualizações futuras, que poderiam reduzir esse impacto na performance.
“O desenvolvimento urgente de uma correção via software está sendo realizado no kernel aberto e recém lançado do Linux e uma correção similar começou a aparecer nos kernels do NT em novembro”, escreveu o blog Python Sweetness na última segunda-feira (1º). “No pior caso, a correção de software causa grandes lentidões em tarefas comuns […] Há pistas de que os ataques impactem ambientes comuns de virtualização, incluindo Amazon EC2 e Google Compute Engine”.
Essas falhas de segurança são ruins porque mesmo essa, que estava tão bem escondida a ponto de demorarmos dez anos para descobrir, acaba aparecendo. E aí não adianta querer manter segredo. Pelo menos, a pequena fatia do mercado que roda processadores AMD possui algum espaço para se vangloriar.
Entramos em contato com a Intel para um posicionamento oficial e atualizaremos a publicação quando obtivermos resposta.
Imagem do topo: AP