Beheer

Security
macOS Mojave

40% prestatieverlies door volledige Spectre-afweer macOS

Bescherming tegen nieuwste Spectre-varianten kost Macs 40 procent vermogen.

© Apple
23 mei 2019

Bescherming tegen nieuwste Spectre-varianten kost Macs 40 procent vermogen.

Mac-gebruikers krijgen met de nieuwste update voor macOS Mojave volledige bescherming aangereikt tegen processorlekken in de - nog altijd uitdijende - reeks van Spectre-kwetsbaarheden. Intels microcode-updates zijn door Apple vervat in een security-update voor macOS die tot wel 40 procent prestatieverlies kan brengen. Standaard schakelt Apple de volledige afweer níet in, daar kunnen gebruikers zelf voor kiezen.

In de nieuwe versie 10.14.5 van macOS (codenaam Mojave) heeft Apple security-fixes opgenomen die bescherming brengen tegen de diepgaande kwetsbaarheden in de Spectre-reeks. Het gaat om nieuwe varianten van datalekkage die mogelijk is dankzij niet goed geïsoleerde multithreading in hedendaagse processors. De nieuwe Spectre-varianten, gevat onder de noemer Microarchitectural Data Sampling (MDS), zijn mede ontdekt door onderzoekers aan de Vrije Universiteit en verantwoord gemeld aan Intel.

Rekenwerk geraakt

Die processorfabrikant heeft na melding gewerkt aan updates voor de microcode in zijn processors. Distributie daarvan gebeurt dan via computermakers, zoals ook Apple. Die producent van Mac-computers stelt in zijn supportdocument over 10.14.5 dat het aanvullende bescherming biedt, dus bovenop de in juni vorig jaar uitgebrachte patches hiervoor. Het bedrijf merkt daarbij op dat de invoer van volledige Spectre-afweer, dus met de nu beschikbare mitigations tegen MDS, het prestatieniveau met wel 40 procent kan verminderen.

Het grootste prestatieverlies geldt voor toepassingen en workloads die rekenintensief zijn én in hoge mate multithreaded. Daarbij handelt de processor dus code af in meerdere threads, waarbij ook speculatief alternatieve codepaden alvast worden uitgevoerd. De familie van Meltdown- en Spectre-kwetsbaarheden weet data in de ene thread dan 'af te tappen' vanuit een andere thread. Malware zou hierlangs aan gevoelige gegevens zoals wachtwoorden en versleutelde data kunnen komen.

Apple benadrukt dat er vooralsnog geen bekende exploits zijn die klanten raken. De Mac-maker heeft het volledige bereik aan Specte-bescherming ook niet ingeschakeld in zijn macOS-update, die naast Mojave ook beschikbaar is voor voorgangers High Sierra en Sierra. De standaard ingeschakelde bescherming is alleen voor afweer tegen de MDS-processorlekkage wat betreft webbrowser Safari. Die fix kost geen meetbaar prestatieverlies, meldt Apple op basis van eigen tests die het deze maand heeft uitgevoerd met benchmarks als Speedometer, JetStream en MotionMark.

Zelf voor kiezen

"Klanten met computers die een verhoogd risico hebben of die onvertrouwde software op hun Macs draaien, kunnen optioneel de volledige mitigation inschakelen om te voorkomen dat schadelijke apps deze kwetsbaarheden benutten", aldus het supportdocument van Apple. Deze volledige bescherming omvat het gebruik van een extra processorinstructie voor de betere beveiliging, plus het uitschakelen van Intels bedrijfseigen multithreading-technologie Hyperthreading. Deze twee maatregelen kunnen tot wel 40 procent vermogen schelen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.