Страница 3: Обновление 22: Google смогла полностью закрыть уязвимость Spectre
Как стало известно, Google выпустила соответствующие патчи в сентябре и октябре - намного раньше, чем об уязвимости было сообщено другим компаниям. Утверждается, что клиенты Google не почувствовали какого-либо падения производительности после установки патчей. Напомним, что уязвимости Spectre и Meltdown были обнаружены командой Project Zero из Google, поэтому такой шаг понятен.
По имеющейся на сегодня информации обе уязвимости Spectre полностью закрыть нельзя. Можно разве что осложнить проведение атаки. Но Google сообщает о том, что модификация компилятора Retpoline позволяет создавать код, который полностью защищен от двух уязвимостей Spectre. И здесь Google противоречит ранее опубликованной документации Spectre. Конечно, Google гордится компилятором Retpoline, но пока нет доказательств того, что он предотвращает внеочередное выполнение команд. Если верить документации Spectre, не существует возможности полностью запретить внеочередное выполнение в коде.
Однако если верить Google, компилятор Retpoline не только полностью закрывает уязвимость Spectre, но и не приводит к падению производительности. Google заявляет: "On most of our workloads, including our cloud infrastructure, we see negligible impact on performance."
Другие компании со схожей инфраструктурой говорят о существенном падении производительности. И пока не совсем понятно, почему мы получаем такую разницу. Возможно, Google нашла более эффективный способ закрытия уязвимости. Или просто увеличила аппаратные ресурсы серверов.
Приоритеты Google после обнаружения уязвимостей Spectre и Meltdown несколько сомнительны. Конечно, команда Project Zero смогла оперативно предоставить информацию разработчикам Google, чтобы они как можно раньше начали работать над исправлением проблемы. То есть у разработчиков имелось преимущество по сравнению с другими компаниями. Теперь раздаются голоса о том, что Google следовало бы больше времени уделить поиску общего решения, а не закрывать уязвимость только на собственных серверах. С другой стороны, поскольку Google уязвимость обнаружила, то вполне логично, что компания стремится обезопасить, в первую очередь, себя. Google корректно выполнила политику Responsible Disclosure. То есть другие компании получили время, чтобы защитить свои системы до публикации информации о Spectre в начале года.