Oprócz opisywania zagrożeń staramy się Wam także dostarczać informacji o tym, jak skutków tych zagrożeń unikać lub je minimalizować. Poniżej próba wskazania kierunków działania w ostatniej aferze procesorowej.
Temat błędów Spectre i Meltdown jest tak obszerny i złożony, że na pewno nie opiszemy wszystkiego. Tęgie głowy na całym świecie siedzą nad problemem i też mają problemy z jego opanowaniem, a co dopiero jakiś bloger-amator. Czytaliśmy jednak wiele mądrych wypowiedzi i spróbujemy zebrać tutaj najistotniejsze naszym zdaniem wskazówki dla tych, którzy przyszli w poniedziałek do pracy a szef zapytał „to co z tymi aktualizacjami”. Zacząć możecie od świetnego polskiego opisu samej natury błędów.
Przeglądarki
Zaczniemy od tej łatwej sprawy. Co prawda przeprowadzenie omawianych ataków z poziomu przeglądarki wydaje się być co najmniej skomplikowane, to jednak warto utrudnić takie sztuczki potencjalnym atakującym:
- Firefoksa trzeba zaktualizować do wersji 57 lub nowszej,
- w Chrome trzeba włączyć Strict Site Isolation,
- w IE/Edge potrzebna jest aktualizacja KB4056890 (o aktualizacjach Windows będzie więcej w kolejnych akapitach),
- Safari chyba jeszcze nie ma swojej aktualizacji.
iOS i Android
Klienci Apple mogą spać spokojnie (o ile nie używają Safari…) – iOS 11.2 i nowsze zawierają potrzebne łaty. Użytkownicy Androida potrzebują aktualizacji z 5 stycznia 2018 lub nowszych.
OS X i Windows
Tu sytuacja robi się bardziej skomplikowana. O ile Apple problem rozwiązało już w macOS 10.13.2, o tyle z Windowsem nie jest tak prosto. Problem polega na tym, że aktualizacja Windows eliminująca możliwość wykorzystania błędu gryzie się dość mocno z antywirusami. Z tego powodu łatka Windowsa zainstaluje się tylko tam, gdzie użytkownik lub jego program antywirusowy ustawił specjalny klucz w rejestrze:
Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”
Nie ma klucza – nie ma aktualizacji, która oprócz łatania błędów w procesorach rozwiązuje także inne problemy, w tym np. z usługą SMB. Kevin Beaumont przygotował gigantyczną tabelkę wskazującą, który antywirus jest już gotowy na kompatybilność z łatką i czy automatycznie ustawia wpis w rejestrze. Polecamy uważną lekturę administratorom. Pamiętajcie, że komputery bez najnowszych aktualizacji AV automatycznie tracą także możliwość aktualizacji Windowsa! No chyba, że sami ustawicie klucz w rejestrze, ale podobno niebieski ekran czai się za rogiem…
Systemy serwerowe
Tu sytuacja zaczyna się poważnie komplikować. Instrukcje od producentów oprogramowania są tak długie, że nie ma sensu ich przepisywać. Poniżej najważniejsze linki:
Urządzenia sieciowe
Wygląda na to, że producenci sprzętu sieciowego sami na razie nie do końca wiedzą, co mówić klientom. Tak przynajmniej wyglądają rekomendacje Cisco, trochę lepiej prezentuje się dokumentacja Junipera i Huawei.
Środowiska wirtualizacyjne
To już obszar dla prawdziwych czarodziejów. Szef OVH, Octave Klaba, wrzucił na Twittera takie oto zdjęcie, które najlepiej oddaje sytuację:
Nie podejmujemy się nawet próby zgłębienia tej kategorii problemu. Jeśli już udało się Wam coś zaktualizować, podzielcie się rozwiązaniami w komentarzach, może komuś przy okazji pomożecie.
Komentarze
Warto dodać, że rozwiązania stosowane przez przeglądarki są tymczasowe (zmniejszanie precyzji odmierzania czasu za pomocą performance.now() i wyłączenie SharedArrayBuffer, które również umożliwiało implementację licznika wysokiej precyzji). Chrome/V8 od wersji 64 (ok. 23 stycznia) powinien posiadać już „pełnoprawne” zabezpieczenia.
https://www.chromium.org/Home/chromium-security/ssca
Win7, Avast + jakieś pozostałości po McAFFE po zainstalowaniu poprawki system nie wstał. Restart przy uruchomieniu, bez BSOD.
Pomógł DISM+ z płyty ratunkowej.
Podobno te łatki w programach, w przypadku procesorów AMD wcale nie są potrzebne. Ktoś to potwierdzi?
https://m.imgur.com/hiynV1d
To zwyczajna nagonka medialna i czysty marketing. Bzdury medialne a lemingi szaleją i rzucają się tłumem na pseudo łatki. Widocznie ostatnio źle się sprzedają nowe procesory. To producenci wpadli na pomysł by puścić plotę która stała się faktoidem i po problemie.
Panie Doktorze,
diagnoza słuszna, jakaś recepta?
L4 – nie dziękuje nie potrzebuje…
Dla Opery podobnie:
https://blogs.opera.com/security/2018/01/opera-mitigates-critical-cpu-vulnerabilities/
Żeby zapomnieć dodać porady dotyczącej Opery, ehhh
Mi się aktualizacja KB4056892 zainstalowała bez dodawania klucza do rejestru 2018-01-06
I Vivaldi…
Vivaldi jest na Webkicie jak Chrome, więc robisz tam dokładnie to samo.
Ja to wiem, ale jak ktoś „obraził się” na Chrome i ma Vivaldi, to może nie widzieć (inna kwestia, że pewnie nie wie co to Spectre (Bond!) i Meltdown ;).
Warto wspomnieć ile milionów urządzeń z androidem nigdy nie doczeka się aktualizacji i ile z tych urządzeń jest wykorzystywanych do komunikacji np z bankami ;-)
Osobiście martwię się że moje raspberry pi na osmc trochę zwolni ale może nie będzie tak źle.
Nie zwolni bo A9 nie jest podatny.
Mi udało sie zbudować kernele, które nie wykazując już podatności i to bez strat wydajności. Udało mi się nawet ją podbić.
https://www.dropbox.com/s/a6qpqwfssnfpefy/Screenshot_20180107_222139.png?dl=0
No musiał reklamować swoje buildy, no po prostu musiał! :D
Jak dobrze że pozostał mi stary MSI Wind 100 :D jak się nie mylę ten procek nie posiada tej podatności :) A już chciałem robić porządek w nowym roku z starymi płytami i procesorami. Wygląda na to że jeszcze kilka miesięcy i będę je mógł wystawić w cenie złota ;) :P
Czyli na win serwerach nie wystarczy wgrać łatkę. Trzeba ją jeszcze „uruchomić” zapisami w rejestrze?
tak należy dodać klucze rejestru.
„Customers have to enable mitigations to help protect against speculative execution side-channel vulnerabilities.”
klucze dostępne są tu:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
po restartach bezwzględnie polecam uruchomienie „Get-SpeculationControlSettings” w PS min 5.0 aby potwierdzić, co już jest okej.
Warto zauważyć, że w niektórych przypadkach łatki na system Windows może i się zainstalują, ale mechanizmy omijania błędów nie będą działać, bo nie będzie zaktualizowanego mikrokodu w CPU.
Mikrokod do CPU jest wgrywany przez firmware płyty głównej (UEFI) lub jądro systemu operacyjnego. Jeśli od producenta płyty głównej/jednostki centralnej/laptopa nie ma aktualizacji UEFI wgrywanie przez system jest jedynym rozwiązaniem.
https://downloadcenter.intel.com/product/873/Processors
kategoria firmware
lub sprawdzić czy nie ma paczki w dystrybucji Gnu/Linuksa. W paczkach niektórych dystrybucji widziałem nowsze, grudniowe daty. Nie wiem skąd wzięli te pliki.
Jądro Linuksa potrafi załadować pliki mikrokodu do CPU. Plik musi być ładowany po każdym wyłączeniu procesora.
https://www.kernel.org/doc/Documentation/x86/early-microcode.txt
W Windowsie nie słyszałem, by natywnie istniał podobny mechanizm, ale może się mylę. Niektórzy zalecają zainstalować „VMware CPU Microcode Update Driver” i tym wgrywać microcode.
Do sprawdzania stanu omijania błędu można użyć narzędzia SpecuCheck. Binarki są na GitHubie, wystarczy kliknąć Releases. Uruchamiany na podwyższonych uprawnieniach w cmd.
Plik reg:
reg add „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
/v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f
Tabelka trochę rozmija się z prawdą. Symantec nie ogarnął jeszcze. https://support.symantec.com/en_US/article.TECH248552.html
Win7 x86 + ZoneAlarm: poprawka zainstalowana 5 stycznia jako January 4, 2018—KB4056894 (Monthly Rollup).
Żadnych anomalii, problemów i bluescreenów – klucz w rejestrze jest.
Do Win7 nie ma jeszcze tej aktualizacji w Windows Update, więc trzeba ją ręcznie instalować:
https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897
U mnie po instalacji nie było problemów (dodatkowego AV brak), ale dzisiaj po którymś wybudzeniu laptopa miałem BS z błędem Stop 0x00000050
„Firefoksa trzeba zaktualizować do wersji 57 lub nowszej…”
a co z 52 ESR ?
52 ESR dostanie update jakoś koło 23 stycznia.
> Firefoksa trzeba zaktualizować do wersji 57 lub nowszej
Może trzeba, problem w tym, że od wersji 57 duuuużo wtyczek przestaje pracować i ludzie po aktualizacji szybko wracają do 56. FF bez wtyczek to kiepska radość.
Jest jeszcze wersja 52 ESR, która dostanie update bezpieczeństwa 23 stycznia. Niestety ta wersja chyba nie wspiera tego usprawnienia wydajności i opcji ustawienia do 7 procesów treści co znacznie poprawia wydajność na procesorach wielowątkowych.
Ja też nie byłem zbyt chętny na przesiadkę do 57, ale chyba niestety będzie trzeba się przestawić.
” Windowsa zainstaluje się tylko tam, gdzie użytkownik lub jego program antywirusowy ustawił specjalny klucz w rejestrze…
No chyba, że sami ustawicie klucz w rejestrze, ale podobno niebieski ekran czai się za rogiem…”
Możecie rozwinąć wypowiedź, bo rozumiem, że jak zainstaluję łatkę, niezależnie kto zmienił rejestr, to mogę się spodziewać bluescreenów. A takiej aktualizacji nie zaryzykuję.
Mam dwa spostrzeżenia odnośnie instalacji łątek na Windows Server:
1. Gdy zainstalowałem łątkę na HYPER-V Server 2012 R2, a następnie w wirtualnej maszynie (W2K8 R2), to w obu miejscach mechanizm KAV się domyślnie nie uruchomił. Musiałem sam w rejestrze zmienić klucz FeatureSettings z wartości 3 na 0. Dopiero wtedy KAV się poprawnie uruchomił w obu miejscach.
2. Łatka od M$ wykorzystuje PCID aby zmniejszyć wpływ na wydajność, niestety okazuje się, że działa to tylko na hoście, w wirtualce niestety już PCID nie jest wykorzystywane.
W kontekście https://zaufanatrzeciastrona.pl/post/szoste-urodziny-podsumowanie-i-slowo-od-redaktora-naczelnego/ sformułowanie „bloger-amator” nie jest chyba do końca prawdziwe, nie?
Czuję się w tej branży totalnym amatorem.
Komu ta szkodliwośc szkodzi?
Jeśli słuchać niektórych teorii to bardzo szkodzi… sprzedaży nowych procesorów i oczywiście Windows 10. Niestety zaczynam również sądzić, że jakieś niewielkie ziarno prawdy w tym jest. Instalacja – upgrade Windows 10 darmowa jest podobno ostatecznie do 16 stycznia… a później już pełnopłatne. Jako ciekawostka: zaktualizowany Windows 10 home, poprawki wgrane, odpowiednie klucze rejestru są. Niestety wydajność na maszynie z Celeronem 1005M spadła. Po zastosowaniu poprawki ciągłe zużycie procesora 73% przy 21% przed poprawką. Po otwarciu jakiekolwiek nawet pustej zakładki w Firefox-ie 57.0.4 obciążenie procesora 98%. Cóż, zostaje postawienie od nowa i sprawdzenie ale ciemno to widzę.
Wygląda na to, że trzeba przesiadać się na AMD. Tam spadków wydajności jak dotąd ludzie nie zauważają. W szczególności przy kupnie używanych laptopów trzeba już Intela pomijać, bo tam będą największe spadki wydajności.
Nawet firmy piszą oświadczenia czy ich to dotyczy czy nie.
https://elkom.com.tw/pl/2018/01/15/notatka-dotyczaca-bezpieczenstwa-sterownikow-plc2011-we-wszystkich-wersjach-takze-tych-juz-nieoferowanych-oraz-lmbd3-lmbd4/
Może pomożecie i jakoś wpłyniecie na Lenovo i innych , żeby połatali swoje smartfony, których sprzedali u nas w kraju sporo. Albo chociaż informujcie, który producent smartfonów załatał Androida ( na jakich modelach).
> o ile nie używają Safari
ale przecież CryOS (Chrome for iOS) to jest tak na prawdę nakładka na iOS. Podobnie Firefox dla iOS. A są nakładkami, ponieważ Apple ma politykę taką, że tylko jeden silnik przeglądarki jest słuszny i tylko go dopuszczają.