De fulle konsekvensene av Meltdown- og Spectre-sårbarhetene er på langt nær ferdig kartlagt, selv om det nå snart er ett år siden de første sårbarhetene ble offentlig kjent.
Den nyeste utgaven av Linux-kjernen, versjon 4.20, inkluderer en sikkerhetsløsning som skal bidra til å hindre utnyttelse av Spectre variant 2. Løsningen kalles for Single Thread Indirect Branch Predictors (STIBP). Dette er egentlig en mikrokodeoppdatering fra Intel til selskapets prosessorer. Den kan leveres til prosessoren av operativsystemet under oppstarten.
Det er spesifikt angrep mot prosessorer hvor Hyper-Threading er aktivert, som STIBP skal beskytte mot. Hyper-Threading er Intels navn på det som mer generelt kalles for Simultaneous Multithreading (SMT).
Opptil 50 prosent
Tester gjort av nettstedet Phoronix viser at enkelte typer oppgaver kan ta opptil 50 prosent lenger tid med Linux 4.20 enn med Linux 4.19 på Intel-baserte systemer. Dette kommer i tillegg til eventuelle svekkelser av ytelsen som tidligere botemidler mot Spectre-sårbarhetene har bidratt til.
AMD-baserte systemer skal naturlig nok ikke være berørt av STIBP og ytelsestapet dette medfører.
Linux-skaperen, Linus Torvalds, kommenterte ytelsesreduksjonen i et innlegg sist søndag. Han mener at det ikke har vært tilstrekkelig belyst hvor stor ytelsesreduksjon STIBP medfører.
– Nå ytelsen går ned med 50 prosent ved noen oppgaver, er folk nødt til å spørre seg om det var verdt det. Det virker bedre å deaktivere SMT fullstendig, noe sikkerhetsbevisste folk gjør uansett, skriver Torvalds.
ZDNet har tidligere gjengitt uttalelser fra sikkerhetsspesialister som hevder at sikkerhet og SMT er gjensidig utelukkende.
Nyttig for hvem?
Torvalds foreslår derfor at STIBP ikke ubetinget skal være aktivert som standard.
Han får svar fra Linux-utvikleren Jiri Kosina, som poengterer at de som allerede har deaktivert Hyper-Threading (SMT) ikke vil merke noen forskjell, da STIBP bare aktiveres på systemer hvor Hyper-Threading er aktiv.
Han skriver videre at det er mulig for brukere som ikke er så bekymret for Spectre variant 2 å deaktivere botemidlene via kommandolinjen.
På dette svarer Torvalds at STIBP ikke gir noe fordeler til dem som virkelig bryr seg om sikkerhet, mens «normale» brukere som ikke er spesielt bekymret potensielt vil kunne merke enorm nedgang i ytelsen.
Leste du denne? Enkel løsning kan beskytte eldre pc-er mot Spectre-angrep