Bardzo poważne luki bezpieczeństwa procesorów Intela, ARM, AMD. Między innymi Meltdown i Spectre
Poczekaj, nie ryzykuj. Nie wiadomo co z tego wyjdzie.
- Dołączył
- 25 Grudnia 2012
- Posty
- 3447
- Reakcje/Polubienia
- 1583
Piszesz o sofciku od Ashampoo? Może ktoś inny go sprawdzi, kto w styczniu jeszcze nie instalował aktualizacji od MS. Ciekaw jestem, czy wykaże obydwie "podatności"...
nie zapominajmy, ze jak ma sie plyte starsza niz rok/dwa to mozna zapomniec o jakiejs aktualizacji biosu. przykladowo asrock do modeli z b85 wypial sie na calego. napisalem do nich i zobacze jaka bedzie odpowiedz. nie sa to az tak stare modele, bo przecie biora haswell refresh. przykladowo asus nie olal modeli z b85.
Prawdopodobnie Twoj dostawca antywira nie dodaje klucza w rejestrze, patrz sam koniec tego posta.
Nigdy nie mowilem ze to kompletna lub aktualna lista. Z tego co ostatnio ja ogladalem to byla uaktualniona na 08.01.2018, a tu sie sytuacja zmienia z dnia na dzien.
Niekoniecznie... ja po wejsciu na strone HP znalazlem planowane update BIOSU do DM4, ktory byl wyprodukowany w 2009 roku (Core i& pierwszej generacji). Sprawdzaj strone producenta lub wyslij emila do supportu.
HP wydaje do 15 lutego, patrz wyzej
Patrz koniec postu...
Generalnie to (przynajmniej w UK) do 5 lat to kwestia prawna, a powyzej to sprawa etyki. Do 5 lat prawo w UK daje podstawe do reklamacji na podstawie niezgodnosci produktu z umowa (np. sprzedazy plyty glownej pod niezabezpieczony procek), ale to kwestia dyskusyjna, bo producent sie moze wypiac i stwierdzic ze Intel ma podac mikrokod (co intel zreszta zrobil, inaczej nie byloby w ogole update BIOSów). Powyzej to kwestia etyki oraz.. jakby to ujac... oni zdaja sobie sprawe ze jesli oleja temat teraz, to nastepne ich produkty pewna grupa userow ominie szerokim lukiem.
Powiedzialbym: dum spiro, spero
Teraz odnosnie niekompatybilnosci antywirow powodujaca blokade update: MS wydal statement (
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
) ze ze wzgledu na fakt ze niekompatybilne antywiry moga spowodowac BSODy i niemoznosc zbootowania Windy, producenci antywirow PO sprawdzeniu kompatybilnosci powinni dodac odpowiedni klucz do rejestru. Niektorzy to zrbili, nawet juz w grudniu (taki Kaspersky np, ale to dygresja wiec bedzie na koncu).Dzisiaj przypadkowo spotkalem sie z probemem: Johnnie Dee ma kompatybilny antywir a sie updaty nie instaluja. Stracilem 3 godziny, nie moge znalezc oficjalnego statementu na temat ale mam niejasne podejrzenia ze MS nie do konca mowi prawde z tym kluczem w rejestrze.
Klucz to byl, a poprawki nie szlo zainstalowac. Okazalo sie, ze WIEKI temu mial niekompatybilnego antywira... w skrocie: usunalem resztki cleanerem, poszperalem na dedykowanego usuwacza oraz wycialem recznie dane rejestracyjne.
Po tym - update poszlo jak burza.
Wiec po mojemu - nie tylko obecnosc klucza jest sprawdzana, polecalbym usiniecie resztek i sprawdzenie ponownie.
Pragne podkreslic ze NIE polecam recznego dodawania klucza, bo moze to spowodowac BSOD na etapie PRZED mozliwoscia uruchomienia systemu w trybie sfc, recovery itp. NIE ryzykujcie. Wasz dostawca antywira (platnego) ma psi obowiazek wydac latke, a poki nie wyda - zainstalujcie sobie 30 dniowego darmowego triala czegos kompatybilnego.
Teraz stopka redakcyjna: Kaspersky dodal ten klucz w grudniu (a na "prywatnym" lapku z luboscia go mam i obserwuje co wysyla i gdzie <i tu pozdrawiamy W. Putina, ktorego znamy osobiscie ze spotkania w 2009:x>.
Wszystko bylo pieknie i ladnie ale, jak bylo to podkreslane wielokrotnie, problem polega na spectre, przed ktorym zasadniczo zabezpieczja latki procka przez BIOS. Wiec tak... wszystko bylo pieknie i ladnie do momentu wlasnie update BIOSu na kompie (ktory tak w ogole z definicji niepodatny jest, odkupilem z pracy za psi pinionc, ale to another story). Poniewaz dla tego modelu jest update BIOS to zainstalowalem. No i jakby to powiedziec... kaspersky kompatybilny... Winda zalatana.. BIOS zalatany... laduje ja sobie taki jeden narzedz z pracy ktory ma pierdyliard IO po sieci lokalnej, po naszym C&C , ma maszynke wirtualna.... i nagle kurna czekam na pokazanie na ekranie ruchu myszki po BT... no super.
Ja bym powiedzial tak: sa dwa problemy: Meltdown i Spectre. Meltdown jest latwy do exploitowania i dlatemu zostal zalatany na poziomie OS. spectre to grubszy temat i byle leszcz sie nie wlamie (na razie... za miesiac, dwa - pojawi sie modul do Metasploita za 50USD :-/) wiec bez nerwow: aktualizujmy OS, antywiry, a z aktualizacja BIOSU (przeciw Spectre) hmm... wstrzymajmy sie OBSERWUJAC temat.
Na CALKOWITE zamkniecie na dzis chcialbym zapodac radosna nowine: you are not alone.
Userzy Linuxa tez maja problem, np nowy kernel Ubuntu zawierajacy latke na Spectre i Meltdown, 4.4.0-108, powoduje u niektorych userow brak mozliwosci uruchomienia systemu.
Kurna, to byly takie fajne narzedzia, i komu to przeszkadalo :-/
Asrock odpowiedzial, ze czekaja na latke z intela. Niby ma przyjsc do tygodnia, bo tak sie zobowiazal intel. Kiedy przyjdzie, to ten okres niewiadomy... Reszta starszych procesorow poczeka. Jak juz przyjdzie, musza upichcic latke, przetestowac... co potrwa. Wiec uzbrojony w cierpliwosc czekam na zakupy jak na listonosza i paczki z alie
Prawda jest taka, ze az korcilo mnie sprawdzic kiedy kupilem sprzet juz w chwili gdy wyszlo na jaw, ze kolejna dziura i jeszcze dodatkowo spadek wydajnosci po zalataniu. W polsce taka ochrona konsumenta trwa niestety tylko dwa lata wiec pewnie bym sie nie zalapal. Ale kazdy kto nabyl sprzet do tych dwoch lat powinien smialo z usmiechem na mordzie udac sie do sklepu i zwrocic biorac sobie cos nowszego. Przynajmniej raz by bylo w mysl "chcieliscie wydymac Freda, Fred wydymal was".
Prawda jest taka, ze az korcilo mnie sprawdzic kiedy kupilem sprzet juz w chwili gdy wyszlo na jaw, ze kolejna dziura i jeszcze dodatkowo spadek wydajnosci po zalataniu. W polsce taka ochrona konsumenta trwa niestety tylko dwa lata wiec pewnie bym sie nie zalapal. Ale kazdy kto nabyl sprzet do tych dwoch lat powinien smialo z usmiechem na mordzie udac sie do sklepu i zwrocic biorac sobie cos nowszego. Przynajmniej raz by bylo w mysl "chcieliscie wydymac Freda, Fred wydymal was".
Ostatnia edycja:
- Dołączył
- 25 Grudnia 2012
- Posty
- 3447
- Reakcje/Polubienia
- 1583
Skumulowany opis błędu Meltdown i Spectre po polsku i kilka ciekawych linków tamże:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Ponury Rumcajs
Bardzo aktywny
Ja napisałem w sprawie tej luki Intela do wsparcia technicznego Asusa (płyta główna P7P55 LX) i odpisali mi:
"Płyty główne serii P7 mają status End Of Life. Nie można spodziewać się tej ani żadnych innych aktualizacji dla produktów serii P7, P8.
Luka łatana jest poprzez poprawkę systemową, którą instaluje Pan poprzez proces aktualizacji systemu operacyjnego Microsoft."
Tylko czy to prawda, że same łatki od Microsoftu w zaistniałej sytuacji wystarczą, czy może nie do końca?
Póki co zaktualizowałem sterowniki, system, zainstalowałem łatkę "KB4056568", "KB4056894" i dalej "ostrzegacz" Intel-SA-00086 informuje mnie o nie załatanej dziurze... Windows Update nie proponuje mi już żadnych aktualizacji ale "KB4056894" też nie proponował. Może jeszcze jakąś łatkę muszę zainstalować? (Win 7 Pro x64)
"Płyty główne serii P7 mają status End Of Life. Nie można spodziewać się tej ani żadnych innych aktualizacji dla produktów serii P7, P8.
Luka łatana jest poprzez poprawkę systemową, którą instaluje Pan poprzez proces aktualizacji systemu operacyjnego Microsoft."
Tylko czy to prawda, że same łatki od Microsoftu w zaistniałej sytuacji wystarczą, czy może nie do końca?
Póki co zaktualizowałem sterowniki, system, zainstalowałem łatkę "KB4056568", "KB4056894" i dalej "ostrzegacz" Intel-SA-00086 informuje mnie o nie załatanej dziurze... Windows Update nie proponuje mi już żadnych aktualizacji ale "KB4056894" też nie proponował. Może jeszcze jakąś łatkę muszę zainstalować? (Win 7 Pro x64)
Ostatnia edycja:
Bo ten "ostrzegacz" Intel-SA-00086 służy do sprawdzania luki w Intel Management Engine a nie Meltdown i Spectre.
ciach
Ostatnia edycja:
Jeszcze tak w temacie. Nie wiem czy ktoś dodawał ale jak coś to się skasuje
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
- Dołączył
- 25 Grudnia 2012
- Posty
- 3447
- Reakcje/Polubienia
- 1583
No to przyjrzyjmy się bliżej:
I porównajmy z opinią i wynikami MS przytoczonymi przez spamtrasha:
Widzę, że każda firma przy okazji próbuje ugrać coś dla siebie. Ja poczekam przede wszystkim na testy badaczy, którzy nie mają swoich prywatnych interesów w publikacji ich wyników oraz na testy starszych procesorów.
Ponury Rumcajs
Bardzo aktywny
Ja użyłem "ostrzegacza" Intel-SA-00086, bo Ashampoo Spectre Meltdown CPU Checker tak średnio mi działa. Uruchamiam go jako admin, rozpoczynam test bezpieczeństwa i trwa on godzinami. Nigdy nie dobrnąłem do ukończenia tego testu. Nie wiem jak sprawdzić czy ta dziura jest już zalana.
Póki co to nie bardzo odróżniam Meltdown od Spectre xD ale poprawię się i zgłębię ten temat. Trochę tego dużo do czytania dla osób, które dopiero dowiedziały się o temacie, bo to nie tylko te 6 stron na forum ale tez odnośniki do stron, na których są odnośniki itd. Tak na pierwszy rzut oka nie bardzo wiadomo od czego skutecznie zacząć. Póki co zaktualizowałem przeglądarki, sterowniki, załatałem Windowsa 7 64 bit łatkami "KB4056568", "KB4056894" i dowiedziałem się, że NIE będę miał NIGDY żadnych innych aktualizacji do mojej płyty głównej...Intel udostepnil latki mikrokodu prockow na Linuksa:Zaloguj lub Zarejestruj się aby zobaczyć!
grzebanie sie w ... ponad 2tysiacach prockow jest troche upierdliwe, ale moze warto by sprawdzic czy te latki powoduja zwieche Łubuduntu
Dziwne by było gdyby się bali, to przecież podatność CPU, a nie GPU...
Po pierwsze to Meltdown można fizycznie załatać systemem, a spectre nie bardzo. Ptrzebny jest update z poziomu BIOSU/mikrokodu procka. Intel np (patrz wyżej) wydał łatki mikrokodu które można zaaplikować przez Linuksa, z kolei inni producenci hardware udostępnili/prygotowują łatki BIOSów/UEFI.
Z łataniem mikrokodu przez MS... różnie może być. Na przykład wydane w 2015 update mikrokodu procka z poziomu systemu (KB3064209) nie była szeroko oferowana (I może dobrze... (Zaloguj lub Zarejestruj się aby zobaczyć!), zwłaszcza w przypadku procków G3258 (Haswell).
Ale łatanie mikrokodu z poziomu OS zawsze ma wady, bo... jest to łatka z poziomu OS. NP małymiętki lojalnie ostrzega że (Zaloguj lub Zarejestruj się aby zobaczyć!) w przypadku dodawania jakiegokolwiek Language Pack po zainstalowaniu tej łatki - instalację łatki trzeba powtórzyć.
Tak więc zostaje czekać czy i co będzie udostępnione, niestety... polecam Ci obserwację tego wątku:Zaloguj lub Zarejestruj się aby zobaczyć!.... interesujący post masz tutaj:
Zaloguj lub Zarejestruj się aby zobaczyć!
Czyli wychodzi na to, że jeśli Microsoft nie zaaplikuje łatki mikrokodu Intela umożliwiającej załatanie dziury (jak to zrobił Linux), to masa osób z płytami głównymi starszymi niż np powiedzmy umownie dwa lata załata Meltdown ale będzie stale narażona na Spectre, bo nie ma już wsparcia dla starszych płyt głównych?
Przecież nie wszyscy dostaną do wgrania nowe biosy. Trochę to nie fair, że Intel zawalił a teraz wszyscy, którzy nie mają najnowszego sprzętu płacą za to cenę. Jasne, już teraz zadzieram kiecę i lecę wywalać obecnego i7 oraz kupować nowiusieńki procesor Intela wraz z najnowszą płytą główną Intela. Mowy nie ma! Jak mi tego Intel nie załata to w przyszłości przechodzę na AMD. Wiem, że też mają tą dziurę ale może inaczej podejdą do klienta zamiast odsyłać go do producenta płyty głównej, który nie oferuje już wsparcia sprzętu nowymi aktualizacjami sterowników i biosu.
@spamtrash
Dzięki za linki, oczywiście zajrzę, poczytam.
Ostatnia edycja:
Podobne tematy:
