Apple on julkaissut macOS- ja iOS-käyttöjärjestelmilleen Spectre-tietoturvapäivitykset. Yhtiö oli paikannut käyttöjärjestelmänsä Meltdown-haavoittuvuuden osalta jo aiemmin.
macOS High Sierran Spectre-päivitys päivittää käyttöjärjestelmän joulukuussa julkaistun 10.13.2 -versiota muuttamatta sen versionumeroa. Yhtiön päivityskuvauksen mukaan päivitys paikkaa käyttöjärjestelmän Spectren molempien varianttien osalta. Päivityksen muutokset keskittyvät Safari-selaimeen ja sen käyttämään WebKit-moottoriin.
iOS päivittyy oman päivityksensä myötä versiosta 11.2.1 versioon 11.2.2. macOS-päivityksen tapaan se paikkaa käyttöjärjestelmän Spectren molempien varianttien osalta päivittämällä käyttöjärjestelmään sisälletyn Safari-selaimen ja WebKit-moottorin.
Applen iOS 11.2.2 -päivitys on saatavilla iPhone 5s:lle ja uudemmille, iPad Airille ja uudemille sekä 6. sukupolven iPod Touchille ja sitä uudemmille malleille. macOS High Sierra-päivitys vaatii MacBookin (Late 2009 tai uudempi), MacBook Pron (Mid 2010 tai uudempi), MacBook Airin (Late 2010 tai uudempi), Mac minin (Mid 2010 tai uudempi), iMacin (Late 2009 tai uudempi) tai Mac Pron (Mid 2010 tai uudempi).
Windowsin tavoista en tiedä, mutta Linuxissa täältä löytyy yksi esimerkki.
meta-intel – Layer containing Intel hardware support metadata
Tämä Spectren toinen variantti on vaikea hyväksikäytettävä ja vaikka nyt heti ei olekaan olemassa korjausta, niin sen hyväksikäyttö oli ainakin noiden tekstien jne. mukaan todella haastavaa.
Tosin olin ymmärtänyt, että nuo kernel päivitykset windows, linux jne. blokkaisivat Meltdown ja Spectre v1:lle olisi sitten tämä BIOS päivitys.
Sanoisin pikemminkin että juurikin toisin päin. Yrityskäytössä sillä ei-teknisellä pienyrittäjällä on nimenomaan suht-perus markettiläppäri, joka on helppo ja halpa uusia (ja usein osin yksityiskäytössä), ja tämän vuoksi vaihtuu n. 3 vuoden välein, ja täten joko on jo w10 tai juuri tulossa.
Suurista sitten taas nimenomaan niitä, joilla on tarvetta pitää wanhaa rautaa ja softaa kun räätälöidyt järjestelmät on vähän kalliimpia päivittää kuin se Windows lisenssi tai Office paketti (ihan vaan muutama nolla perään) ja/tai wanha kone . Tämän takiahan XP:n tuen lopettamistakin venyteltiin, ei siksi ettei Pentti Pienyrittäjä olisi halunnut päivittää 10 vuotta vanhaa läppäriään.
Kuka täällä on ollut huolissaan vain niistä?
Meltdown-päivitys tulee, tai siis tuli jo Windowsin kautta. Spectre on paikkaamatta, mutta siihen on luvassa erillistä käsin asennettavaa päivitystä uudemmille laitteille enemmin tai myöhemmin. Vanhat emot jäävät siinä vaiheessa suojatta kokonaan (ja uudempiinkin jää vielä se yksi Spectre-variantti paikkaamatta, kun ei se ole mahdollista).
On ollut myös spekulaatiota voisiko Spectre-päivitys järjestyä Windowsin kautta, mutta se on pelkkää mutua, eikä näytä tällä hetkellä todennäköiseltä.
Olet ymmärtänyt väärin. Spectren toista varianttia ei ole saatu toimimaan AMD:n raudalla eikä välttämättä koskaan saadakaan. Toisen voi paikata käyttöjärjestelmäpäivityksillä. Meltdown ei koske AMD:ta ollenkaan.
Variant one ja two siis Spectre, Variant three Meltdown.
Eli AMD on selvästi paremmassa asemassa kuin Intel. AMD käyttäjille riittää softa/käyttispäivitykset, muuta ei tarvita.
Nyt meni huti, ykkönen ja kakkonen on Spectre ja kolmonen Meltdown.
Ks. Prosessoreiden tuoreet haavoittuvuudet julki: Meltdown ja Spectre
Itseäni kiinnostaisi edelleen se, että miksi se vaatisi mikrokoodipäivityksen juuri biosin kautta? Jengi on nyt jotenkin hirveän fiksaatiossa, että pitää saada biospäivitys. En väitä etteikö näin voisi olla, mutta en ole nähnyt mitään pätevää lähdettä tuollaiselle, joten olen aika epäuskoinen. Uusiin lautoihin se varmaankin tulee biospäivityksenä, mutta jotenkin on hankala uskoa, että kovin vanhoihin lautoihin tulisi enää biospäivitystä. Yllätys on iloinen jos vanhoja lautojakin muistetaan. Ymmärtääkseni se mikrokoodipäivitys prossuun ei ole mitenkään pysyvä, vaan se ladataan joka käynnistyksellä uusiksi riippumatta tuleeko se käyttiksen vai biosin kautta.
Se on mahdollista päivittää Linuxista Microcode – Debian Wiki
Mikrokoodipäivityksiä on tehty myös Windowsin kautta https://support.microsoft.com/en-us/help/3064209/june-2015-intel-cpu-microcode-update-for-windows
Joten jos (kun) Intel saa eri prosessoreihin mikrokoodipäivitykset aikaan, niin sitä ei ole pakko syöttää prosessorille biosin kautta, vaan sen voi niin haluttaessa hoitaa sinne myös käyttöjärjestelmän kautta. Vanhojen laitteiden kanssa uskoisin käyttöjärjestelmän kautta latauksen tulevan kyseeseen (prosessorimalleja on rajatumpi määrä kuin eri emolevyjä). Oman uskomukseni mukaan teknistä rajoitetta ei ole, vaan se on eri osapuolien tahdosta kiinni.
Eli onko nyt jokin muu asia kuin se mikrokoodi tarkoitus korjata biosin kautta? Haiskahtaa siltä, että tässä käytetyssä terminologiassa biospäivitys = mikrokoodi ja se on omiaan hämmentämään tilannetta.
Käyttöjärjestelmäpäivitys ja mikrokoodin päivitys käyttöjärjestelmän kautta on sinänsä eri asiat, mutta nehän voi yhdistää samaan pakettiin ja jos Windows Updatesta tulee KBjotain, niin tietääkö loppukäyttäjä oliko siinä päivitys käyttöjärjestelmään vai prossun mikrokoodia.
Project Zero: Reading privileged memory with a side-channel
Olenko ymmärtänyt tuon väärin mitä tuossa blogissa on?
Ymmärtääkseni Meltdown koskee Inteliä eli variant 3. 1 ja 2 ovat Spectre joista 1 toimii kaikissa ja 2:nen ainakin Intelillä mutta teoriassa menee AMD mutta ei ole saatu toteutettua.
Onhan tuo mikrokoodin ajaminen Windowsin kautta mahdollista, se on vain eriasia kuka sen tekee.
Kyllä, mutta kun otetaan huomioon että kolmonen eli Meltdown saatiin ilmeisesti suht. helposti paikattua, niin jäljelle jää Spectre, joka ei ole Intelin "yksinoikeus".
Myönnän etten tiedä hölkäsen pöläystä siitä onko 1 ja 2 käytettävyydellä eroa, mutta ykkösen osalta siis sekä Intel että AMD (että ARM) vaativat päivityksen. Jos onnistuu OS:n kautta niin hyvä, mutta OS/Softaware on aika avoin ilmaisu. Softaa se mikrokoodikin on, rautapäivityksiä nyt tietenkään ei jälkikäteen tehdä millekään prossulle tämän suhteen pl. koko prossun vaihto.
Tästä en tiedä, ja hieno homma jos saadaan kuntoon näin, etenkin jos koskee kaikkia prossuja.
Mutta mitään faktaa tähän en ole löytänyt, saati sitten faktaa siitä että Intel tarvitisi nyt jollain tapaa eri tavalla toimitettavia korjauksia kuin AMD, eli edelleen kysyn, että onko tässä nyt Meltdownin paikkauksen jälkeen eroa sen suhteen puhutaanko Intelistä vai AMD:stä. Saati sitten niistä ARM-laitteista, jotka ollaan aikalailla ohitettu keskusteluissa.
Yritin vihjata tuossa että pien yrittäjät luokitellaan perus penoiksi eikä yrityksiksi.
Termit ovat tosiaan epäselviä siksi, koska korjaukset ovat edelleen monin paikoin matkalla. Ne mitä on Spectren osalta saatavilla, ovat olleet nimenomaan BIOS-päivityksiä. Lisäksi on kommentoitu mm. Intelin toimesta, että päivitysten jakelu jää laitevalmistajien vastuulle, joka sulkee Windowsin kuvioista, mutta tämä voi toki vielä muuttua jossakin vaiheessa.
Mm. Asus ilmoitti että päivityksiä ei tule kuin alle 5v vanhoille tuotteille.
Kyllä sinne menee kaikki myrkyt mukana nykyisten BIOS flashin mukana. Se on todellakin kokonaiskattava paketti.
Korjasin oikeaksi.
Vahinkoja sattuu, korjasin numerot oikeiksi.
Tuossa on se suuri ero että Spectre 2 todistetusti toimii Intelin prosessorilla. Taasen AMD:n prosessorilla sitä ei ole saatu toimimaan tähän mennessä eikä välttämättä saada koskaan toimimaankaan. Eli Intelin prosessorin omistajilla on varmasti ongelma, AMD:n prosessorin omistajilla on ongelma ehkä mahdollisesti tulevaisuudessa, todennäköisesti ei ole.
Twiitterissä Intelin entinen CPU insinööri höpisi jotain että jo ihan jollain heikolla 128-bit salauksella voitaisiin nämä estää, tiedä sitten miksei hän ole aikoinaan sellaista kiveksiinsä suunnitellut, vai olisiko yksi syy miksi ootti loparit. Vai olisiko saanut peräti potkut kun lähtö ajoittuu aikalailla siihen samoihin aikoihin kun nää exploitit on Intelin tietoon saatettu.
Niin siis voihan sen mikrokoodin injektoida joka bootissa ainakin linuksissa. Kait myös windowsissa kyseinen ominaisuus on joka ei mitään fläshäämistä tarvi.
Sinäkin varmaan haluaisit sydämentahdistimen, jonkun magneettikuvauskoneen, sen automaattisen kipulääkkeen annostelijan, tai oikeastaan vaikka ydinvoimalan, missä 3v välein siellä vaihdellaan koneet. Meidän omista puolustusvoimista ja vaikka lentoliikenteestä puhumattakaan. Jos et ymmärrä alkujakaan, että millainen työmäärä on päivittää pienikin päivitys vaikka lennonjohtoon, niin olet aivan kujalla. Se työmäärä on jokaisen jutun kohdalla aivan sairas, miksi? Koska se bugi siellä voi tappaa kymmeniä, satoja, miljoonia! Niitä ei kuule tuosta noin vain päivitellä. Se että sun työpaikalla joku laitteisto päivittyy tämän tästä, ei todellakaan koske läheskään kaikkia aloja.
Ja näissä se saako se mummo siihen vanhaan romuunsa sen päivityksen, on se ja sama.
Omasta puolestani voin todeta, että kyse oli terminologian hallinnan puutteesta, sekä asioiden ymmärtämättömyydestä, kun huolestuin tuon vanhan emolevyni tuesta. Kiitoksia sen jälkeen käydystä selventävästä keskustelusta.
Siitäpä tulee mehukas aukko hyökätä jos merkttävä osa tuon softan käyttäjistä kääntää Windows päivitykset pysyvästi pois päältä kun kyseesä on koneet joiden kautta liikutellaa merkittäviä omaisuusmääriä.
Enemmän minua huolestuttaa se että mitä nämä toimimattomat kaikäreet tekee/on tehnyt kun menevät rikki. Kuten jotkut "tietoturha" ohjelmat.
Tämä sai kyllä hymyn huulille 😀
We translated Intel's crap attempt to spin its way out of CPU security bug PR nightmare
Microsoft vieläkään jaksanut toimittaa päivitystä omalle suomenkieliselle Windows 10:lle. Melko nopeaa toimintaa etten sanoisi. :grumpy:
Itsehän ottaisin ihan mielelläni käyttöön 128bittisen prosessorin ja pariksi 128 bittisen (windows) käyttöjärjestelmän. Voi olla ettei hetkeen toteudu mutta ehkä tämä bugi nyt saa aikaan uudistuksia ja muutoksia prosessoreissa ihan suuremmallakin kädellä. Viimeisen vuosikymmenen kun kuluttajapuolen prosessorit ovat miltei polkeneet paikallaan näin ylikellottajan näkökulmasta.
Poislukien vasta tämä vuosi kun vihdoin tuli päälle 4-ydin/8-säie prosessoria hieman järkevämpään hintaan (siis sellaista millä tekikin jotain myös yhden ytimen tehoilta).
Et tekisi mitään 128 bittisellä windowksella ja prossulla, eikä 128 bittisellä salauksella ole mitään tekemistä prossun bittisyyden kanssa.
Jahs, joskos Hansuli jättäisi sitten rölläämiset vähemmälle, kun ollaan asia-alueella. Jatketaan räbän puolella…
Samaa sanottiin 2005 kun XP Pro 64bit versio ilmestyi. Vasta kun 64bit Vista tuli myyntiin alkoi saapua enempi 64bittisiä ajureita ja kummasti nyt, tuollaiset 10 vuotta eteenpäin kun windows 10 virallisesti julkaistiin (2015) alkaa yleinen mielipide olemaan sitä ettei 32bittisiä versioita käyttöjärjestelmistä pitäisi julkaista tai tukea.
Ei sillä että 128Gb fyysistä ja 16Teraa virtuaalimuistia ei riittäisi (tai se teoriassa ~16EB fyysistä jos ihan tiukasti tuijotetaan mitä 64bit antaisi myöten) mutta sovitaan että olet oikeassa. "640kb should be enough for everyone" :smoke: (tosin muistaakseni myöhemmissa käyttisversioissa esim. tuettua muistin määrää, salauksia ja muuta on tiputeltu alaspäin lähes kaikissa muissa paitsi bisnes versioissa ja ehkä ultimate tms.)
Microsoft’s Windows 7 Meltdown and Spectre Patch (KB4056894) Failing with BSOD
Jos pitäisi veikata, niin ongelmana on emolevyvalmistajien omat kilkkeet esimerkiksi graafiset bios liitynnät sekä secure boot, TPM et.all . Noiden kanssa täytyy käynnistysketjun integriteetti varmistaa ja nyt liikutaan sellaisella alueella, että on enempi vähempi todennäköistä ettei aikaisemmin käytetyt viritykset enää mene läpi.
Linuxilla ei ole vastaavaa ongelmaa, kun siellä ei emovalmistajien crapware ole aikaisemminkaan toiminut.
En usko että haluaisit. Pitää muistaa että GPOS:ssa natiivi bittileveys tarkoittaa muistinhallinnan ja osoitteiden perusyksiköiden minimikokoa. Teoreettinen x86-128 olisi niin muistisyöppö että nykymaailmassa se söisi koko hyödyn. VLIW yksiköitä on kuitenkin jo nyt käytössä AVX käskykannan muodossa esimerkiksi ja jopa Bulldozer taisi tukea 128 bittisiä vektorioperaatioita.
Semmoinen hauskuus on muuten Meltdownissa että mitä enempi koneessa on muistia, sitä pienempi kaista on sivukanavalla, koska skannattavia sivutauluja on enemmän.
Kaikkeen salaukseen päteekin vanha viisaus ajasta salaisuuksien säilyttäjänä, vaikkakin nykyään tykätään myös puhua myös entropiasta.
Niin ne ajat muuttuu, ei siitä nyt niin loputtoman kauan ole kuin DES DES – Wikipedia oli vielä vahva salaus, eikä se olut lähelläkään 128 bittistä ja kohistiin siitä että kolmikirjaimisten jenkkilän organisaatiot olivat huolissaan SSH1:n yleistymisestä … 😀
Tällähetkellä 64 bittinen muistiavaruus on täysin riittävä kaikkeen mahdolliseen, siinämäärin, että ei ole mitään järkeä sitoa hyvin rajallista transistoribudjettia yhtään natiiviin 128 bittiseen prossuun (laskentapuolelle on järkeä tehdä erikoisyksikköjä, niin kuin on tehty).
Puhumattakaan tuosta 128 bittisyyden turhasta resurssien syömisestä.
Tuo 640 KB heitto on typerä, kun jo sen heiton aikaan oli tiedossa, että muistin määrä kasvaa tuon rajan yli. Nyt taas hyödyt olisivat teoreettisiä, kun muistiavaruus olisi täysin 100%:n älytön, niin sinne olisi helpompi piilottaa asioita.
Muistikampa, joka kattaisi 64 bittisen muistiavaruuden olisi nykytekniikalla melkoisen iso ja kehitys pienentämisessä hidastuu kokoajan, sekä koon, että virrankulutuksen suhteen. Jättiharppaukset ovat kutistuneet vanhan mummon köpöttelyaskeliksi ja kutistuvat edelleen. Tarvitaan askeleita ihan toiseen suuntaan perustekniikan osalta, jos aiotaan harpata.
Minun suomenkielinen W10 päivittyi 4.1.
Voit myös päivittää KB4056892 päivityksen manuaalisesti Microsoft Update Catalog -sivulta.
Latauslinkit löytyy myös täältä: Cumulative Update KB4056892 Windows 10 v1709 Build 16299.192 – Windows 10 Forums
W10:ssä asennetaan sama päivitys kaikissa kieliversioissa.
Intel Bug
Levyoperaatiot ottavat tosiaan aika pahasti osumaa sen jälkeen kun käyttiksen lisäksi myös BIOS (mikrokoodi) on päivitetty:
Patched Desktop PC: Meltdown & Spectre Benchmarked
Bitdefender julkaisi odotetun päivityksen/tuen:
Information for Bitdefender users on the Microsoft January 2018 Security Update – Bitdefender
Bitdefender Endpoint Security Tools Version 6.2.28.973 Release Notes
Tämä oli mielenkiintoista, mutta onko tää nyt jotain haihattelua, vai onko oikeesti tulossa muutoksia myös nVidian suorituskykyyn?
Tuo ei tarkoita että CPU:n ominaisuuksien rajoittaminen vaikuttaisi näytönohjaimeen, vaan että nVidia käyttää mahdollisesti samaa tekniikkaa ohjaimissaan ja jos se pitää paikkaansa, niin sitten myös nVidian pitäisi päivittää ohjaimiensa toimintamallia ja se sitten kyllä vaikuttaa melko varmasti myös suorituskykyyn. Se on kuitenkin vielä mutua onko tämä tarpeen ja jos on, niin millä tasolla ja millaisilla seurauksilla.
Edit.
Tuon nVidian oman blogin (tai siis Security bulletinin) mukaan päivityksiä on luvassa tämän kuun aikana. Aukoista variantit 1 ja 2 koskevat myös nVidiaa. Seuraukset selvinnevät siis muutamassa viikossa.
Juu, näin siis ajattelinkin, ettei tosiaan nuo CPU-sidonnaiset päivitykset noihin nVidian chippeihin suoraan vaikuta. Mietin lähinnä että onko kuinka mahdollinen skenaario että niissä on tuo sama haavoittuvuus, ja että sitä lähdetään (BIOS ja) ajuripäivityksellä paikkaamaan?
Näyttäisi nVidian omien sanojen mukaan olevan hyvinkin todennäköistä. Editoin tarkemmat tiedot tuohon edelliseen viestiini.
Näytönohjaimet eivät tee spekulatiivista suoritusta, eivätkä ole haavoittuvaisia näille.
Kyse on siitä, että nvidian näytönohjaimen ajuri(jota ajetaan CPUlla) sisältää koodia joka on haavoittuvainen spectrelle.
Ja techspot on ymmärtänyt väärin.
Voisin kuvitella että NVIDIAn cuda ja shader kääntäjät paikataan samaan tapaan kuin normikääntäjät sekä selaimien prosessisuojaukset. Jos AMD:ltä ei tule samaa noottia, niin silloin voi olla aikalailla varma että kyseessä on joku cudan ominaisuus johon muutokset tehdään.
Edit:
Voisi muuten laittaa melkein jotakin pientä panokseksi että DX12/Vulkan tarttee jotakin paikkoa myös.
Nvidia on polkaissut pihalle uudet 390.65 ajurit joissa on mukana tietoturvapäivityksiä Spectreä vastaan. Ennen/jälkeen testejä odotellessa.
NVIDIA DRIVERS GeForce Game Ready Driver WHQL
Humdidum….
Lenovo saanut uusia bioksia ulos korjaamaan tätä Variant 2 (CVE-2017-5715) reikää. Odotin myös, että Variant 1 (CVE-2017-5753) olisi myös korjattu mutta ilmeisesti ei sitten olekaan.
https://support.lenovo.com/en/solutions/len-18282
Edit. Variant 1 saakin OS päivityksen.
Variant 1: Bounds check bypass (CVE-2017-5753)
Requires operating system updates
Vulnerable to Spectre attack
Variant 2: Branch target injection (CVE-2017-5715)
Requires processor microcode updates
Requires operating system updates
Vulnerable to Spectre attack
Variant 3: Rogue data cache load (CVE-2017-5754)
Requires operating system updates
Vulnerable to Meltdown attack
Paljonko maailmalla myydään/liisataan rautaa tai palvelua sopimuksella € per toteutunut suorituskyky? Nyt kun suorituskyvystä napsastaan palvelinmaailmassa 30% pois, tarkoittaa samaa kuin 1/3 raudasta olisi heitetty kaatopaikalle ja uutta tilalle. Tästä voi tulla aikamoinen ketju joka johtaa suoraan korvausvaatimuksineen Intelin ovelle. Olisi mielenkiintoista nähdä palvelinrautatoimituksien tilastoa tästä hetkestä +/- 1 vuosi.
Yksi asia mikä on varmaa , että monen palvelun hinta tulee väkisin nousemaan. Jollainhan heidän on kasvanut tehontarve, ja siitä johtuvat lisäinvestoinnit rahoitettava.
Varmaan mahdoton sanoa. Oikea vastaus lienee paljon, mutta kuinka suuri osa se on kokonaismarkkinasta on toinen juttu. Aikapaljonhan noita myydään myös ihan resurssina. Jos on myyty 4 Xeonia x, se on edelleen 4 Xeonia x.