Microsoft implementeert een oplossing voor de prestatieproblemen met Windows 10 als gevolg van de Spectre-patches die begin dit jaar werden uitgerold. De oplossing zal deel uitmaken van de eerstvolgende feature-update in de eerste helft van 2019 (19H1).

“We hebben retpoline standaard ingeschakeld op onze 19H1-flights, samen met wat we ‘importoptimalisatie’ noemen om de prestatie-impact als gevolg van indirecte calls in de kernelmodus verder te verminderen”, zegt Mehmet Iyigun van het Windows/Azure Kernel Team op Twitter.

De twee aanpassingen moeten er samen voor zorgen dat de impact van de Spectre v2-mitigaties op de prestaties tot “ruisniveau” worden gereduceerd.

Retpoline is een softwaremitigatie voor Spectre v2, die door Google werd ontwikkeld. Uit Googles eigen tests blijkt dat de impact ervan op de prestaties van een systeem nagenoeg verwaarloosbaar is. Verschillende Linux-distributies maken er reeds gebruik van, waaronder Red Hat, SUSE, en Oracle Linux 6 en 7.

Een van de grootste zorgen rond de patches voor Spectre en Meltdown was dat ze een significante impact konden hebben op de prestaties, variërend van 5 tot 30 procent. De kwetsbaarheden situeren zich in de kern van de processorarchitectuur. Ze maken misbruik van speculatieve uitvoering, een functie die van cruciaal belang was voor de vooruitgang in prestaties de voorbije jaren.

Speculatieve uitvoering

Met name Intel is het hardst getroffen vanwege de manier waarop de chipreus speculatieve uitvoering in zijn processors implementeert. Een aantal nieuwe Xeon- en 8ste generatie Core i-chips hebben weliswaar reeds hardwaremitigaties ingebouwd, maar die beschermen alleen tegen aanvallen die reeds bekend zijn.

Speculatieve uitvoering kan evenwel op tal van manieren worden misbruikt. Van Spectre bestaan al verschillende varianten en recent kreeg het er naast Meltdown nog een broertje bij. Foreshadow, dat door onderzoekers van de KU Leuven werd ontdekt, maakt eveneens gebruik van speculatieve uitvoering en wordt nog niet in de nieuwste chip gemitigeerd..

Alleen een processorarchitectuur die van de grond af opnieuw wordt opgebouwd kan toekomstige Intel-processors volledig beschermen, maar dat vraagt minstens nog enkele jaren aan ontwikkeltijd.