I processori Intel nome in codice Whiskey Lake per portatili, presentati ieri, sono i primi chip consumer a integrare fix hardware per le vulnerabilità Meltdown e Foreshadow. Destino differente per le soluzioni Amber Lake, che non hanno queste mitigazioni nel silicio.
Le attuali mitigazioni per Spectre e Meltdown contemplano un mix di aggiornamenti del microcode e del sistema operativo e possono ridurre le prestazioni fino al 10% (in base al carico di lavoro) sulle piattaforme più recenti.
L'impatto prestazionale è invece più marcato sull'hardware datato. Secondo Intel, le nuove mitigazioni inserite direttamente nei processori dovrebbero ridurre o persino eliminare il calo delle prestazioni.
La prima ondata di fix nell'hardware è limitata, ma Intel ci ha fatto sapere che questi interventi di sicurezza direttamente "nel silicio" aumenteranno di numero nel corso del tempo.
I processori Whiskey Lake necessitano ancora di una combinazione di microcode e patch del sistema operativo per la maggior parte delle varianti emerse da gennaio a oggi, ma perlomeno Meltdown e L1TF Foreshadow sono stati affrontati direttamente in hardware.
Come abbiamo spiegato qualche giorno fa, i processori server Cascade Lake sono stati i primi a integrare delle patch nell'hardware, anche se quei chip hanno un insieme diverso di protezioni rispetto alle CPU consumer. Per esempio, Cascade Lake ha una protezione hardware contro Spectre V2, mentre i Whiskey Lake ne sono sprovvisti.
| Falla | Mitigazioni Whiskey Lake | Mitigazioni Cascade Lake |
|---|---|---|
| Variant 1 (Spectre) | Sistema operativo | Sistema operativo / VMM |
| Variant 2 (Spectre) | Microcode + Sistema operativo | Nel silicio + Sistema operativo / VMM |
| Variant 3 (Meltdown) | Nel silicio | Nel silicio |
| Variant 3a | Microcode + Sistema operativo | Firmware |
| Variant 4 | Microcode + Sistema operativo | Microcode + Sistema operativo / VMM |
| L1TF (Foreshadow) | Nel silicio | ? |
Intel ci ha detto che le protezioni hardware per Spectre V2 arriveranno in futuro anche nei chip consumer. Insomma, siamo solo all'inizio di una "battaglia" che porterà a un cambiamento nel modo di progettare le architetture dei processori nei prossimi anni.
Le nuove mitigazioni nel silicio potrebbero aiutare ad affrontare le vulnerabilità future, in quanto non è da escludere che emergano nuove varianti basate sulle stesse tecniche usate per Spectre e Meltdown.
Intel non ha fornito alcun dettaglio sull'esatta natura dei cambiamenti alla microarchitettura, ed è facile capire il motivo. Come il resto dell'industria, la casa di Santa Clara non può condividere molte informazioni sugli interventi fatti e in arrivo, altrimenti ricercatori di sicurezza e (peggio ancora) malintenzionati potrebbero "approfittarsene".
Ci aspettiamo che anche gli altri processori Intel di prossimo arrivo, come per esempio i Core della serie 9000 attesi nelle prossime settimane, integrino mitigazioni in hardware, ma al momento non abbiamo conferme.