Nelle scorse qualche ore Nvidia ha aggiornato i driver per tutti i suoi prodotti in modo da mitigare l'impatto delle vulnerabilità che affliggono i microprocessori. In Rete in molti hanno dedotto che tale update implicasse la presenza delle vulnerabilità Meltdown e Spectre sui prodotti dell'azienda statunitense. Non è così. E allora perché sono stati aggiornati i driver? Facciamo chiarezza.
Nvidia spiega in modo semplice all'interno di un Security Bulletin di ritenere che il proprio hardware (le GPU inserite nelle varie linee di prodotto, dalle GeForce alle Tesla) sia "immune ai problemi di sicurezza riportati". Poiché però l'hardware non è fine a sé stesso e interagisce tramite i driver con il sistema operativo e i vari altri componenti della piattaforma (come i processori) si è reso necessario intervenire con un update.
Nvidia spiega nel bollettino che i suoi driver necessitano di correttivi per mitigare la falla Spectre, in entrambe le varianti, mentre per quanto riguarda Meltdown "Nvidia non ha ragione di credere che il proprio software sia vulnerabile a questa variante".
Insomma: l'hardware è sicuro, non fatevi prendere dal panico, non pensate di dover cambiare la scheda video. Anche il CEO dell'azienda, Jen-Hsun Huang, è intervenuto ribadendo il concetto: "Sono assolutamente sicuro che le nostre GPU non siano colpite. Sono immuni. Quello che abbiamo fatto è pubblicare driver aggiornati per mettere una toppa alla vulnerabilità di sicurezza delle CPU. Stiamo agendo nello stesso modo di Amazon, SAP, Microsoft, ecc. perché anche noi abbiamo una parte software".
Il CEO di Nvidia ha poi aggiunto che chiunque sviluppa software deve aggiornarlo in seguito alle vulnerabilità scoperte. Nel frattempo, Intel (le cui CPU sono quelle più esposte al problema, in quanto colpite dai tre attacchi) è tornata a parlare.
Nell'articolo "Falle CPU e prestazioni post-fix: cosa aspettarsi" vi abbiamo illustrato i risultati di alcuni test condotti da Microsoft, ma nelle scorse ore è toccato a Intel entrare più nei dettagli delle prestazioni susseguenti alle patch, dopo aver accennato qualcosa nelle scorse ore.
Leggi anche: Bug dei microprocessori, tutto su Meltdown e Spectre
Navin Shenoy, vicepresidente esecutivo e general manager del Data Center Group, ha illustrato ulteriori dati di test ottenuti su sistemi client - cioè portatili o comuni PC - in un comunicato stampa, a cui è stato allegato un PDF che potete vedere a questo indirizzo. "Abbiamo intenzione di condividere i dati iniziali per alcune delle nostre piattaforme server nei prossimi giorni", ha aggiunto il dirigente.
I test riguardano le CPU Core di sesta, settima e ottava generazione su piattaforma Windows 10 e coinvolgono i benchmark SYSMark2014SE, PCMark 10, 3DMark Sky Diver e WebXPRT 2015.
"In precedenza abbiamo detto che ci aspettavamo che l'impatto sulle prestazioni non sarebbe stato rilevante per gli utenti di computer tradizionali, e i dati che condividiamo oggi supportano tali ipotesi su queste piattaforme".
Secondo Intel l'impatto delle patch sui sistemi con processori Core di ottava generazione (Core i7-8700K, Core i7-8650U) con SSD "è piccolo". Nel test SYSMark2014SE si vede un impatto inferiore al 6% di media, ma per tutti i processori il test che mostra il maggiore impatto è quello chiamato "Responsiveness" di SYSMark2014SE, dove si parla dell'88% e dell'86% di prestazioni totali rispetto al 100% rappresentato dalla situazione pre-patch.
Si tratta di un test composto da diversi carichi: avvio di software, di file, navigazione web con più schede, multi-tasking, copia di file, manipolazione di foto, codifica e compressione di file, installazione di software in background.
"In alcuni casi, alcuni utenti potrebbero vedere un impatto più evidente. Ad esempio, gli utenti che usano applicazioni Web che coinvolgono operazioni JavaScript complesse potrebbero mostrare un impatto leggermente più alto (fino al 10% in base alle nostre rilevazioni iniziali). Carichi di lavoro ad alto contenuto grafico come i giochi o di calcolo, come l'analisi finanziaria, vedono un impatto minimo", scrive Navin Shenoy.
Per quanto riguarda i processori Kaby Lake, nel caso specifico un processore Kaby Lake-H mobile, il Core i7-7920HQ, i risultati ottenuti sono simili ai Core di ottava generazione, con un impatto in SYSMark2014SE di circa il 7%. Le piattaforme Skylake-S (Core di sesta generazione), mostrano un impatto leggermente più alto, si parla dell'8% di media in SYSMark2014SE.
"Abbiamo misurato le prestazioni della stessa piattaforma su Windows 7, a una configurazione comune specialmente in ambienti d'ufficio e abbiamo osservato un impatto ridotto, circa il 6% in SYSMark2014SE. L'impatto è persino inferiore sui sistemi con hard disk", aggiunge Intel.
"Entro la prossima settimana intendiamo offrire una serie di dati per le piattaforme mobile e desktop che sono state presentate negli ultimi cinque anni. A quei clienti preoccupati dall'impatto prestazionale diciamo che lavoreremo su soluzioni creative con i nostri partner industriali per ridurre tali impatti laddove possibile".
"Oltre al lavoro che stiamo facendo sui prodotti nelle mani dei nostri clienti, stiamo lavorando sodo per aggiornare la tecnologia nei nostri prodotti futuri al fine di massimizzare la sicurezza e le prestazioni".
Antivirus problematici
Intanto, come riportato a poche ore dalla distribuzione del primo update per Windows, gli antivirus potrebbero causare problemi nel post-aggiornamento, come l'impossibilità di avviare il sistema o l'apparizione di schermate BSOD (blue screen). Le principali aziende stanno rilasciando aggiornamenti, ma in un bollettino di sicurezza Microsoft spiega che il problema nasce dagli antivirus che fanno "chiamate non supportate nella memoria kernel di Windows".
Per risolvere il problema i produttori di antivirus devono aggiornare il software aggiungendo una specifica chiave di registro per certificare la compatibilità con gli ultimi update. In assenza di tale chiave Microsoft fa sapere che i clienti non riceveranno alcun update attuale e futuro e non saranno protetti dalle vulnerabilità di sicurezza.
La casa di Redmond aggiunge che il requisito "nasce per garantire che i clienti possano installare correttamente gli aggiornamenti di sicurezza di gennaio 2018. Microsoft continuerà a far rispettare questo requisito fino a quando non ci sarà la certezza che la maggior parte dei clienti non incontrerà crash dopo aver installato gli aggiornamenti di sicurezza".
Il ricercatore di sicurezza Kevin Beaumont ha pubblicato una lista degli antivirus aggiornati. Beaumont dice che Microsoft sta usando il nuovo processo di certificazione per impedire ai produttori di antivirus di aggirare la Kernel Patch Protection di Microsoft, che l'azienda ha introdotto nel 2007 per difendersi dai rootkit.
Sembra infatti che la tecnica di bypass usata da alcuni produttori di soluzioni di sicurezza sia simile al funzionamento dei rootkit, e consiste nell'iniettare il loro prodotto in un hypervisor Windows per intercettare le chiamate di sistema in posizioni di memoria che Microsoft ha modificato in seguito all'attacco Meltdown.