Intel hat kürzlich Downfall bekannt gegeben, eine Sicherheitslücke, die mehrere Generationen von Intel-Prozessoren betrifft – von denen einige früher die besten CPUs auf dem Markt waren. Der Chiphersteller hat einen aktualisierten Mikrocode auf Softwareebene mit einer Behebung des Fehlers herausgebracht. Es hat jedoch einige Alarme ausgelöst, da angeblich eine Leistungsbeeinträchtigung von bis zu 50 % auf AVX2- und AVX-512-Workloads im Zusammenhang mit der Gather-Anweisung besteht.
Als kurze Zusammenfassung: Downfall (CVE-2022-40982) ist mit der Speicheroptimierungsfunktion in Intel-Prozessoren verbunden. Downfall nutzt den Gather-Befehl aus, der den Prozessor beschleunigt, wobei Intel-Chips an verschiedenen Stellen im Speicher verstreute Daten abrufen. Durch den Gather-Befehl werden interne Hardwareregister unbeabsichtigt der Software zugänglich gemacht, sodass diese auf Daten zugreifen kann, die von anderer Software gespeichert werden. Der Untergang betrifft Mainstream- und Serverprozessoren von Intel, von der Skylake- bis zur Rocket-Lake-Mikroarchitektur. Daher sind Sie wahrscheinlich betroffen, es sei denn, Sie besitzen einen der neueren Prozessoren von Intel, wie Alder Lake, Raptor Lake oder Sapphire Rapids. Intel hat eine umfangreiche Liste aller betroffenen Chips.
Die Hauptsorge besteht darin, wie sich die Abhilfemaßnahmen auf die Leistung von Intel-Prozessoren auswirken werden. Führende Linux-Publikation Phoronix hat die Auswirkungen der Downfall-Abhilfemaßnahmen auf Linux bewertet. Die Nachrichtenagentur testete ein Paar Xeon Platinum 8380 (Ice Lake)-Prozessoren, einen Xeon Gold 6226R (Cascade Lake)-Chip und einen Core i7-1165G7 (Tiger Lake)-Teil. Phoronix nutzte verschiedene reale Softwarepakete, die Teil der Intel oneAPI-Software sind.
Die beiden Xeon Platinum 8380 waren in OpenVKL 1.3.1 rund 6 % langsamer. Mit OSPRay 2.12 verzeichnete Phoronix Leistungseinbußen von bis zu 34 %. Die Abhilfemaßnahmen führten zu einem erheblichen Rückgang der KI-Arbeitslasten, wie z. B. Neural Magic DeepSparse 1.5, Tencent NCNN und QMCPACK, mit einer Reduzierung um bis zu 17 %.
Die Benchmark-Ergebnisse des Xeon Gold 6226R zeigten eine ähnliche Leistungsverschlechterung. Der Cascade-Lake-Chip verlor bis zu 33 % in OSPRay 2.12 und bis zu 20 % in Neural Magic DeepSparse 1.5.
Für den Core i7-1165G7 führte Phoronix nur drei Benchmarks durch, die jedoch ausreichten, um den Leistungsabfall durch die Downfall-Abhilfemaßnahmen aufzuzeigen. Beispielsweise lieferte der Core i7-1165G7 in OpenVLK 1.3.1 eine 11 % geringere Leistung. Unter OSPRay 2.12 führten die Abhilfemaßnahmen zu einer Leistungseinbuße zwischen 19 % und 39 % gegenüber dem Core i7-1165G7.
Die gute Nachricht aus den ersten Ergebnissen von Phoronix ist, dass der Leistungsrückgang durch die Downfall-Abschwächung geringer war als der von Intel prognostizierte Overhead von 50 %. Die schlechte Nachricht ist jedoch, dass die Leistungseinbußen immer noch erheblich sind. AVX-Anweisungen sind auch nicht auf KI- oder HPC-Workload-Tests beschränkt. Sie finden sie in anderen Workloads, beispielsweise bei der Videokodierung oder -transkodierung. Logischerweise wäre es interessant zu sehen, welche Workloads von den Downfall-Maßnahmen negativ beeinflusst werden. Den vorläufigen Tests von Phoronix zufolge sind HPC-Workloads am stärksten betroffen.
Das Mikrocode-Update ist nicht obligatorisch. Wenn Sie die Schadensbegrenzung deaktivieren möchten, bietet Intel einen Opt-out-Mechanismus an, um die Leistung Ihres Prozessors bei vektorisierungsintensiven Arbeitslasten wiederherzustellen. Dann gibt es noch die Debatte über die Komplexität der erfolgreichen Durchführung eines Downfall-Angriffs. Der Exploit klingt insgesamt nach einer schwierigen Aufgabe, aber letztendlich hängt es davon ab, ob Ihnen die Sicherheit wichtiger ist als die Leistung oder umgekehrt.