Na te procesory Intel nie wyda jednak łatek: sprzęt z tej dekady podatny na Spectre

Jeszcze w styczniu Intel obiecywał, że poprzez łatki wmikrokodzie zdoła zabezpieczyć wszystkie swoje podatne procesoryprzed atakami Meltdown i Spectre. Teraz wiadomo już, że nic z tegonie będzie. Kilkadziesiąt modeli starszych generacji z przeróżnychpowodów nigdy nie zobaczy wprowadzonych na sprzętowym poziomiezabezpieczeń. Co najgorsze, są wśród nich serwerowe procesoryXeon, z których niektóre były przez Intela produkowane jeszcze dopołowy 2015 roku. Projektanci wielu centrów danych muszą terazczuć się dziwnie – czy mają teraz to wszystko wyrzucić dokosza?

Odświeżona wersja przewodnikapo wydaniach mikrokodu ujawnia, że nie wszystkie procesory Intelaotrzymają poprawki zabezpieczające. Jest tak z różnych powodów,ale wśród nich Intel wymienił trzy najważniejsze:

• Specyfikę mikroarchitektury wykluczającą praktycznąimplementację mechanizmów chroniących przed Spectre v2 (BranchTarget Injection).
• Ograniczone wsparcie dla komercyjnie dostępnego oprogramowaniasystemowego.
• Wdrożenie większości podatnych modeli w „systemachzamkniętych”, których prawdopodobieństwo narażenia na takiezagrożenia jest niższe.

Oznacza to, że jeśli dana rodzina czipów podpada pod którąśz tych kategorii, to dostanie etykietkę „zatrzymane”,aktualizacji mikrokodu dla niej nie będzie. Możliwe jestoczywiście, że powód będzie inny, coś z tej listyniewymienionych, ale to już sprawa wtórna. Najważniejsze jestbowiem, że Intel nie powstrzymał się przed nadaniem etykietki„zatrzymane” w żadnym z segmentów swoich produktów.

Wśród de facto porzuconych procesorów znajdziemy nie tylkoAtomy, Celerony, Pentiumy i procesory Core, ale też serwerowe Xeony.Dotyczy to takich rodzin jak Bloomfield (produkowane od 2008 do2011), Clarksfield (2009 do 2012), Gulftown (2010), Harpertown (2007do 2008) Jasper Forest (2010 do 2011), Penryn/QC (2008-2009), SoFIA3GR (2015-2016), Wolfdale (2007-2011), Yorkfield (2007-2011).

Oznacza to, że taki sobie wycofany z produkcji dopiero w trzecimkwartale 2015 roku czip XeonE7-2803, który Intel sprzedawał za 774 dolary (proces 32 nm,sześć rdzeni, 12 wątków) łatek nie dostanie, podobnie jak izdecydowana większość starszych od niego procesorów. W najlepszymrazie posiadacze takiego sprzętu będą musieli polegać nazabezpieczeniach software’owych, przez wielu badaczy uważanych zamożliwe do ominięcia.

W przewodniku znaleźć można też nieco pomyślnych informacji:procesory z rodzin Arrandale, Clarkdale, Lynnfield, Nehalem iWestmere mają już gotowe łatki w mikrokodzie, choć w poprzedniejedycji ich los nie był oczywisty. Oczywiście pozostaje pytanie, ilekonkretnie komputerów z tymi nie-tak-znowu-starymi procesoramibędzie w stanie przyjąć poprawki mikrokodu. Podejrzewamy żeniewiele – choćby z powodu zarzucenia wsparcia przez producentówpłyt głównych.

Dla wszystkich blackhatów pracujących nad ulepszeniem atakówSpectre to świetna wiadomość. Większość starszych pecetów,maszyn sprzedawanych z Windowsem XP, Vistą i 7, pozostanie na zawszepodatna na wykradzenie z nich informacji. Można zaś sobiewyobrazić, że ludzie wcale z tego powodu masowo nie rzucą się dosklepów, by kupować najnowsze komputery z procesorami Core8. generacji.