szukaj

08.01.2018 | 07:02

avatar

Adam Haertle

Meltdown i Spectre – poradnik łatacza, czyli co i jak naprawiać

Oprócz opisywania zagrożeń staramy się Wam także dostarczać informacji o tym, jak skutków tych zagrożeń unikać lub je minimalizować. Poniżej próba wskazania kierunków działania w ostatniej aferze procesorowej.

Temat błędów Spectre i Meltdown jest tak obszerny i złożony, że na pewno nie opiszemy wszystkiego. Tęgie głowy na całym świecie siedzą nad problemem i też mają problemy z jego opanowaniem, a co dopiero jakiś bloger-amator. Czytaliśmy jednak wiele mądrych wypowiedzi i spróbujemy zebrać tutaj najistotniejsze naszym zdaniem wskazówki dla tych, którzy przyszli w poniedziałek do pracy a szef zapytał „to co z tymi aktualizacjami”. Zacząć możecie od świetnego polskiego opisu samej natury błędów.

Przeglądarki

Zaczniemy od tej łatwej sprawy. Co prawda przeprowadzenie omawianych ataków z poziomu przeglądarki wydaje się być co najmniej skomplikowane, to jednak warto utrudnić takie sztuczki potencjalnym atakującym:

iOS i Android

Klienci Apple mogą spać spokojnie (o ile nie używają Safari…) – iOS 11.2 i nowsze zawierają potrzebne łaty. Użytkownicy Androida potrzebują aktualizacji z 5 stycznia 2018 lub nowszych.

OS X i Windows

Tu sytuacja robi się bardziej skomplikowana. O ile Apple problem rozwiązało już w macOS 10.13.2, o tyle z Windowsem nie jest tak prosto. Problem polega na tym, że aktualizacja Windows eliminująca możliwość wykorzystania błędu gryzie się dość mocno z antywirusami. Z tego powodu łatka Windowsa zainstaluje się tylko tam, gdzie użytkownik lub jego program antywirusowy ustawił specjalny klucz w rejestrze:

Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

Nie ma klucza – nie ma aktualizacji, która oprócz łatania błędów w procesorach rozwiązuje także inne problemy, w tym np. z usługą SMB. Kevin Beaumont przygotował gigantyczną tabelkę wskazującą, który antywirus jest już gotowy na kompatybilność z łatką i czy automatycznie ustawia wpis w rejestrze. Polecamy uważną lekturę administratorom. Pamiętajcie, że komputery bez najnowszych aktualizacji AV automatycznie tracą także możliwość aktualizacji Windowsa! No chyba, że sami ustawicie klucz w rejestrze, ale podobno niebieski ekran czai się za rogiem…

Systemy serwerowe

Tu sytuacja zaczyna się poważnie komplikować. Instrukcje od producentów oprogramowania są tak długie, że nie ma sensu ich przepisywać. Poniżej najważniejsze linki:

Urządzenia sieciowe

Wygląda na to, że producenci sprzętu sieciowego sami na razie nie do końca wiedzą, co mówić klientom. Tak przynajmniej wyglądają rekomendacje Cisco, trochę lepiej prezentuje się dokumentacja Junipera i Huawei.

Środowiska wirtualizacyjne

To już obszar dla prawdziwych czarodziejów. Szef OVH, Octave Klaba, wrzucił na Twittera takie oto zdjęcie, które najlepiej oddaje sytuację:

Kliknij tutaj, aby wyświetlić treść z Twittera.
Dowiedz się więcej w polityce prywatności.

Nie podejmujemy się nawet próby zgłębienia tej kategorii problemu. Jeśli już udało się Wam coś zaktualizować, podzielcie się rozwiązaniami w komentarzach, może komuś przy okazji pomożecie.

Powrót

Komentarze

  • avatar
    2018.01.08 08:37 redeemer

    Warto dodać, że rozwiązania stosowane przez przeglądarki są tymczasowe (zmniejszanie precyzji odmierzania czasu za pomocą performance.now() i wyłączenie SharedArrayBuffer, które również umożliwiało implementację licznika wysokiej precyzji). Chrome/V8 od wersji 64 (ok. 23 stycznia) powinien posiadać już „pełnoprawne” zabezpieczenia.

    https://www.chromium.org/Home/chromium-security/ssca

    Odpowiedz
  • avatar
    2018.01.08 08:41 Michał

    Win7, Avast + jakieś pozostałości po McAFFE po zainstalowaniu poprawki system nie wstał. Restart przy uruchomieniu, bez BSOD.
    Pomógł DISM+ z płyty ratunkowej.

    Odpowiedz
  • avatar
    2018.01.08 10:02 Łukasz

    Podobno te łatki w programach, w przypadku procesorów AMD wcale nie są potrzebne. Ktoś to potwierdzi?

    https://m.imgur.com/hiynV1d

    Odpowiedz
  • avatar
    2018.01.08 10:10 Doktor

    To zwyczajna nagonka medialna i czysty marketing. Bzdury medialne a lemingi szaleją i rzucają się tłumem na pseudo łatki. Widocznie ostatnio źle się sprzedają nowe procesory. To producenci wpadli na pomysł by puścić plotę która stała się faktoidem i po problemie.

    Odpowiedz
    • avatar
      2018.01.08 13:43 Pan Klocek

      Panie Doktorze,
      diagnoza słuszna, jakaś recepta?
      L4 – nie dziękuje nie potrzebuje…

      Odpowiedz
  • avatar
    2018.01.08 10:31 Alex

    Dla Opery podobnie:
    https://blogs.opera.com/security/2018/01/opera-mitigates-critical-cpu-vulnerabilities/
    Żeby zapomnieć dodać porady dotyczącej Opery, ehhh
    Mi się aktualizacja KB4056892 zainstalowała bez dodawania klucza do rejestru ‎2018-‎01-‎06

    Odpowiedz
    • avatar
      2018.01.08 11:07 malpiadama

      I Vivaldi…

      Odpowiedz
      • avatar
        2018.01.08 21:15 asdf

        Vivaldi jest na Webkicie jak Chrome, więc robisz tam dokładnie to samo.

        Odpowiedz
        • avatar
          2018.01.09 15:31 malpiadama

          Ja to wiem, ale jak ktoś „obraził się” na Chrome i ma Vivaldi, to może nie widzieć (inna kwestia, że pewnie nie wie co to Spectre (Bond!) i Meltdown ;).

          Odpowiedz
  • avatar
    2018.01.08 11:44 elbarto

    Warto wspomnieć ile milionów urządzeń z androidem nigdy nie doczeka się aktualizacji i ile z tych urządzeń jest wykorzystywanych do komunikacji np z bankami ;-)

    Osobiście martwię się że moje raspberry pi na osmc trochę zwolni ale może nie będzie tak źle.

    Odpowiedz
    • avatar
      2018.01.08 21:38 Rad

      Nie zwolni bo A9 nie jest podatny.

      Odpowiedz
  • avatar
    2018.01.08 13:41 e X t 7 3

    Mi udało sie zbudować kernele, które nie wykazując już podatności i to bez strat wydajności. Udało mi się nawet ją podbić.

    https://www.dropbox.com/s/a6qpqwfssnfpefy/Screenshot_20180107_222139.png?dl=0

    Odpowiedz
    • avatar
      2018.01.09 01:48 x

      No musiał reklamować swoje buildy, no po prostu musiał! :D

      Odpowiedz
  • avatar
    2018.01.08 13:47 Geronimo

    Jak dobrze że pozostał mi stary MSI Wind 100 :D jak się nie mylę ten procek nie posiada tej podatności :) A już chciałem robić porządek w nowym roku z starymi płytami i procesorami. Wygląda na to że jeszcze kilka miesięcy i będę je mógł wystawić w cenie złota ;) :P

    Odpowiedz
  • avatar
    2018.01.08 13:57 Alan

    Czyli na win serwerach nie wystarczy wgrać łatkę. Trzeba ją jeszcze „uruchomić” zapisami w rejestrze?

    Odpowiedz
  • avatar
    2018.01.08 14:34 Karol

    Warto zauważyć, że w niektórych przypadkach łatki na system Windows może i się zainstalują, ale mechanizmy omijania błędów nie będą działać, bo nie będzie zaktualizowanego mikrokodu w CPU.
    Mikrokod do CPU jest wgrywany przez firmware płyty głównej (UEFI) lub jądro systemu operacyjnego. Jeśli od producenta płyty głównej/jednostki centralnej/laptopa nie ma aktualizacji UEFI wgrywanie przez system jest jedynym rozwiązaniem.

    https://downloadcenter.intel.com/product/873/Processors
    kategoria firmware
    lub sprawdzić czy nie ma paczki w dystrybucji Gnu/Linuksa. W paczkach niektórych dystrybucji widziałem nowsze, grudniowe daty. Nie wiem skąd wzięli te pliki.

    Jądro Linuksa potrafi załadować pliki mikrokodu do CPU. Plik musi być ładowany po każdym wyłączeniu procesora.
    https://www.kernel.org/doc/Documentation/x86/early-microcode.txt

    W Windowsie nie słyszałem, by natywnie istniał podobny mechanizm, ale może się mylę. Niektórzy zalecają zainstalować „VMware CPU Microcode Update Driver” i tym wgrywać microcode.

    Do sprawdzania stanu omijania błędu można użyć narzędzia SpecuCheck. Binarki są na GitHubie, wystarczy kliknąć Releases. Uruchamiany na podwyższonych uprawnieniach w cmd.

    Odpowiedz
  • avatar
    2018.01.08 14:39 OIHI

    Plik reg:

    reg add „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”

    /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

    Odpowiedz
  • avatar
    2018.01.08 16:29 Zaw

    Tabelka trochę rozmija się z prawdą. Symantec nie ogarnął jeszcze. https://support.symantec.com/en_US/article.TECH248552.html

    Odpowiedz
  • avatar
    2018.01.08 17:10 jasc

    Win7 x86 + ZoneAlarm: poprawka zainstalowana 5 stycznia jako January 4, 2018—KB4056894 (Monthly Rollup).
    Żadnych anomalii, problemów i bluescreenów – klucz w rejestrze jest.

    Odpowiedz
  • avatar
    2018.01.08 20:41 Arek

    „Firefoksa trzeba zaktualizować do wersji 57 lub nowszej…”
    a co z 52 ESR ?

    Odpowiedz
    • avatar
      2018.01.08 23:04 Kefas

      52 ESR dostanie update jakoś koło 23 stycznia.

      Odpowiedz
  • avatar
    2018.01.08 21:50 M..

    > Firefoksa trzeba zaktualizować do wersji 57 lub nowszej

    Może trzeba, problem w tym, że od wersji 57 duuuużo wtyczek przestaje pracować i ludzie po aktualizacji szybko wracają do 56. FF bez wtyczek to kiepska radość.

    Odpowiedz
    • avatar
      2018.01.08 23:06 Kefas

      Jest jeszcze wersja 52 ESR, która dostanie update bezpieczeństwa 23 stycznia. Niestety ta wersja chyba nie wspiera tego usprawnienia wydajności i opcji ustawienia do 7 procesów treści co znacznie poprawia wydajność na procesorach wielowątkowych.

      Ja też nie byłem zbyt chętny na przesiadkę do 57, ale chyba niestety będzie trzeba się przestawić.

      Odpowiedz
  • avatar
    2018.01.09 12:02 tomek

    ” Windowsa zainstaluje się tylko tam, gdzie użytkownik lub jego program antywirusowy ustawił specjalny klucz w rejestrze…
    No chyba, że sami ustawicie klucz w rejestrze, ale podobno niebieski ekran czai się za rogiem…”

    Możecie rozwinąć wypowiedź, bo rozumiem, że jak zainstaluję łatkę, niezależnie kto zmienił rejestr, to mogę się spodziewać bluescreenów. A takiej aktualizacji nie zaryzykuję.

    Odpowiedz
  • avatar
    2018.01.09 22:16 Proboszcz

    Mam dwa spostrzeżenia odnośnie instalacji łątek na Windows Server:
    1. Gdy zainstalowałem łątkę na HYPER-V Server 2012 R2, a następnie w wirtualnej maszynie (W2K8 R2), to w obu miejscach mechanizm KAV się domyślnie nie uruchomił. Musiałem sam w rejestrze zmienić klucz FeatureSettings z wartości 3 na 0. Dopiero wtedy KAV się poprawnie uruchomił w obu miejscach.
    2. Łatka od M$ wykorzystuje PCID aby zmniejszyć wpływ na wydajność, niestety okazuje się, że działa to tylko na hoście, w wirtualce niestety już PCID nie jest wykorzystywane.

    Odpowiedz
  • avatar
    2018.01.10 12:15 Ł.O.

    W kontekście https://zaufanatrzeciastrona.pl/post/szoste-urodziny-podsumowanie-i-slowo-od-redaktora-naczelnego/ sformułowanie „bloger-amator” nie jest chyba do końca prawdziwe, nie?

    Odpowiedz
    • avatar
      2018.01.10 12:54 Adam

      Czuję się w tej branży totalnym amatorem.

      Odpowiedz
  • avatar
    2018.01.10 20:21 marfi

    Komu ta szkodliwośc szkodzi?

    Odpowiedz
    • avatar
      2018.01.11 15:03 Piotr

      Jeśli słuchać niektórych teorii to bardzo szkodzi… sprzedaży nowych procesorów i oczywiście Windows 10. Niestety zaczynam również sądzić, że jakieś niewielkie ziarno prawdy w tym jest. Instalacja – upgrade Windows 10 darmowa jest podobno ostatecznie do 16 stycznia… a później już pełnopłatne. Jako ciekawostka: zaktualizowany Windows 10 home, poprawki wgrane, odpowiednie klucze rejestru są. Niestety wydajność na maszynie z Celeronem 1005M spadła. Po zastosowaniu poprawki ciągłe zużycie procesora 73% przy 21% przed poprawką. Po otwarciu jakiekolwiek nawet pustej zakładki w Firefox-ie 57.0.4 obciążenie procesora 98%. Cóż, zostaje postawienie od nowa i sprawdzenie ale ciemno to widzę.

      Odpowiedz
      • avatar
        2018.01.11 19:25 Proboszcz

        Wygląda na to, że trzeba przesiadać się na AMD. Tam spadków wydajności jak dotąd ludzie nie zauważają. W szczególności przy kupnie używanych laptopów trzeba już Intela pomijać, bo tam będą największe spadki wydajności.

        Odpowiedz
  • avatar
    2018.01.19 15:15 Piotr

    Może pomożecie i jakoś wpłyniecie na Lenovo i innych , żeby połatali swoje smartfony, których sprzedali u nas w kraju sporo. Albo chociaż informujcie, który producent smartfonów załatał Androida ( na jakich modelach).

    Odpowiedz
  • avatar
    2018.02.21 18:58 Xn

    > o ile nie używają Safari

    ale przecież CryOS (Chrome for iOS) to jest tak na prawdę nakładka na iOS. Podobnie Firefox dla iOS. A są nakładkami, ponieważ Apple ma politykę taką, że tylko jeden silnik przeglądarki jest słuszny i tylko go dopuszczają.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Meltdown i Spectre – poradnik łatacza, czyli co i jak naprawiać

Komentarze