Intel dice di aver fatto ulteriori progressi sul fronte Spectre e Meltdown, i due attacchi che sfruttano le vulnerabilità insite nel modo in cui funzionano i processori moderni. Le CPU Intel, come noto, sono esposte sia alle due varianti di Spectre che a Meltdown, mentre quelle AMD solo alle due varianti Spectre. Anche le architetture ARM sono coinvolte, sebbene non tutti i progetti.
A ogni modo, la casa di Santa Clara - vista anche la sua quota di mercato - è quella che deve più far fronte alla mitigazione di queste falle e alle conseguenze. Navin Shenoy, vicepresidente esecutivo e general manager del Data Center Group, ha affermato che Intel ha distribuito gli aggiornamenti firmware per il 90% delle sue CPU degli ultimi 5 anni come da programma.
C'è però ancora molto da fare: ad esempio Intel ha scoperto che non sono solo i sistemi client e server con CPU Broadwell e Haswell a riavviarsi frequentemente in seguito all'applicazione dei correttivi, ma questo comportamento è stato riscontrato anche su piattaforme Ivy Bridge, Sandy Bridge, Skylake e Kaby Lake. "Abbiamo riprodotto i problemi internamente e stiamo facendo progressi per identificare la radice del problema. Entro la prossima settimana forniremo alle aziende un microcode beta da testare".
Shenoy aveva promesso che in questi giorni avrebbe divulgato qualche dato sui test prestazionali "post fix" in ambito datacenter, che è proprio quello che più potrebbe più patire l'applicazione dei correttivi sul fronte prestazionale. Per ora Intel ha svolto alcuni test usando benchmark industriali su sistemi a due socket con CPU Xeon Scalable (Skylake).
"Come previsto, i risultati dei test mostrano finora un impatto sulle prestazioni che varia in base a carichi di lavoro e alle configurazioni specifiche. In generale, i carichi che incorporano un numero maggiore di modifiche ai privilegi utente / kernel e passano una quantità di tempo rilevante in modalità privilegiata avranno un impatto più avverso", spiega Shenoy.
Stando ai test - che trovate in modo più dettagliato in questo PDF - l'impatto spazia tra 0% e 2% nelle prove che misurano il throughput integer e floating point, Linpack, STREAM, Java lato server e quelli sull'efficienza energetica.
Nel test online transaction processing (OLTP) che simula uno scambio azionario l'impatto registrato si è attestato al 4%. La situazione più grave arriva con i benchmark che chiamano in causa l'archiviazione.
FlexibleIO, un test che simula carichi di I/O con differenti mix di lettura e scrittura, dimensione dei blocchi, unità e uso della CPU, è un caso emblematico. Stressando la CPU con scritture al 100%, Intel ha registrato un calo del 18% nel throughput, mentre con un mix di letture e scritture rispettivamente pari al 70% e al 30%, il throughput ne ha risentito solo per il 2%. In uno scenario di uso della CPU ridotto, ossia con letture al 100%, la casa di Santa Clara ha registrato un aumento dell'uso del processore ma nessun impatto sul throughput.
Infine, i test con Storage Performance Development Kit (SPDK) hanno restituito un impatto differente a seconda dell'impostazione: con SPDK iSCSI l'azienda ha ravvisato un calo prestazionale del 25% usando un solo core. Usando invece SPDK vHost, non ci sono stati contraccolpi.
"Nelle aree in cui stiamo riscontrando impatti maggiori stiamo lavorando sodo con i nostri partner e clienti per identificare modi per affrontarli. Ad esempio, esistono altre opzioni di mitigazione che potrebbero produrre un impatto minore", conclude Shenoy.
Denunciata anche AMD
Intanto registriamo che mentre Intel è invischiata in diverse class action a causa di Meltdown e Spectre, due studi legali hanno denunciato AMD sempre per gli stessi problemi. A loro modo di vedere l'azienda non avrebbe comunicato adeguatamente di essere vulnerabile a Spectre.
AMD ha infatti subito chiarito di non essere esposta a Meltdown, mentre su Spectre potrebbe avere fatto qualche inciampo comunicativo. Inizialmente l'azienda confermò di essere vulnerabile alla Variante 1 di Spectre, un problema risolvibile aggiornando il sistema operativo. Per quanto riguarda la Variante 2, inizialmente AMD affermò che c'era un rischio quasi pari a zero per le proprie CPU. In seguito ha leggermente cambiato posizione dicendo che avrebbe distribuito un aggiornamento del microcode opzionale per le proprie CPU Ryzen ed EPYC.
Opzionale o no, problema minore o meno, è proprio su questa ambiguità che gli studi legali Rosen e Pomerantz hanno preso di mira AMD. Secondo i legali, l'azienda non ha comunicato correttamente con gli investitori e i clienti, portando a un calo del valore delle proprie azioni in seguito alla parziale rettifica della propria posizione. AMD ha dichiarato a Tom's Hardware che le accuse sono "senza merito" e che intende "difendersi in modo vigoroso da queste affermazioni infondate".
Problemi anche per l'industria
Gli aggiornamenti contro gli attacchi Spectre e Meltdown stanno creando problemi anche al mondo industriale. Wonderware e Rockwell Automation, due produttori nel settore SCADA (Supervisory Control And Data Acquisition) usati a livello industriale per controllare dispositivi e macchinari, parlano di instabilità e malfunzionamenti dopo l'installazione dell'aggiornamento KB4056896 di Windows. Stiamo parlando di sistemi che gestiscono, ad esempio, impianti complessi come gli acquedotti municipali delle grandi città.
Parla Oracle
Intanto Oracle ha annunciato che determinate versioni di Oracle Solaris su processori SPARCv9 sono esposte alle vulnerabilità Spectre. L'azienda ha già rilasciato e continuerà a pubblicare correttivi per mitigare la situazione.