Die Sicherheitsmaßnahmen, die für Intel-Grafikprozessoren eingesetzt wurden, sollen die Grafikleistung beeinträchtigen und stehen nun zur Diskussion, um auf Ubuntu entfernt zu werden.
Canonical und Intel deaktivieren angeblich GPU-Sicherheitsmaßnahmen, was die Leistung von Intel-Grafikprozessoren um bis zu 20 % verbessern wird
Nach Sicherheitslücken wie Spectre und Meltdown, die vor einigen Jahren auftraten, begann Intel mit der Einführung mehrerer Schutzmaßnahmen für seine CPUs, um die Gefahr eines Datendiebstahls zu verringern. Intel veröffentlichte mehrere Microcode-Updates, um die Angriffe zu stoppen, hauptsächlich für CPUs. Um auf Nummer sicher zu gehen, erhielt jedoch auch der Intel-Grafik-Stack mehrere solcher Schutzmaßnahmen.
Bisher gab es keine Berichte über solche Angriffe auf Intel iGPUs, doch aufgrund der Schutzmaßnahmen hatten die iGPUs einen Leistungsabfall, wie von Canonical, dem Entwickler des Ubuntu-Betriebssystems, festgestellt wurde. Es wird berichtet, dass sowohl Intel als auch Canonical zusammenarbeiten, um diese Sicherheitsmaßnahmen zu entfernen, da sie für den Intel-Grafik-Stack nicht entscheidend sind, und deren Entfernung zu einer 20 % höheren Leistung führen wird.
Dieser Fehler wurde auf Launchpad gemeldet, wo es heißt, dass Ubuntu-Nutzer eine Leistungssteigerung von 20 % sehen können, dies jedoch wahrscheinlich in Version 25.10 umgesetzt wird. Um diese Schutzmaßnahmen in zukünftigen Ubuntu-Paketen zu deaktivieren, wird dies über den NEO_DISABLE_MITIGATIONS-Build erfolgen. Da Intel bereits seine offiziellen Builds des Intel Compute Runtime von GitHub mit deaktivierten Schutzmaßnahmen ausliefert, kann man davon ausgehen, dass die Deaktivierung auf Ubuntu keine Probleme verursachen sollte.
Nach Diskussionen zwischen den Sicherheitsteams von Intel und Canonical sind wir uns einig, dass Spectre auf GPU-Ebene im Compute Runtime nicht mehr gemindert werden muss. Zu diesem Zeitpunkt wurde Spectre im Kernel gemindert, und eine klare Warnung vom Compute Runtime-Build dient als Benachrichtigung für diejenigen, die modifizierte Kernel ohne diese Patches ausführen. Aus diesen Gründen sind wir der Meinung, dass die Spectre-Minderungen im Compute Runtime nicht mehr genug Sicherheitswirkung bieten, um den aktuellen Leistungseinbruch zu rechtfertigen.
Mit solchen Updates besteht jedoch weiterhin die Möglichkeit, dass dies eine «unbekannte» Angriffsfläche für Hacker eröffnen könnte. Um das Vertrauen der Nutzer zu stärken, haben Intel und Canonical diese Änderung offiziell genehmigt, was bedeutet, dass sie die Änderungen, die sie in naher Zukunft umsetzen werden, formell geprüft und genehmigt haben. Im Grunde genommen geben Intel und Canonical den Nutzern und Entwicklern grünes Licht, das Ubuntu-Betriebssystem ohne diese Sicherheitsmaßnahmen zu verwenden.