Monet käyttäjät ovat arvuutelleet parhaillaan vellovan päivitysrumban keskellä onko se oma tietokone nyt vihdoin paikattu Meltdown- ja Spectre-haavoittuvuuksilta. Gibson Research Corporation on julkaissut verkkosivuillaan ratkaisun tähän arvuutteluun.
Gibson Research Corporationin julkaisema InSpectre-ohjelma kertoo lyhyesti ja ytimekkäästi kaikkien Windows-kokoonpanojen suojauksen tilan Meltdown- ja Spectre-haavoittuvuuksien osalta. Ohjelman kerrotaan toimivan kaikilla Windows-versioilla. Lisäbonuksena se antaa myös arvion siitä, ovatko päivitykset vaikuttaneet järjestelmän suorituskykyyn. Microsoftin mukaan vanhempien kokoonpanojen suorituskyky kärsii päivityksistä enemmän kuin uusien.
InSpectren kehittäjä toivoo, että ohjelmaa ei ladattaisi kolmansien osapuolten palveluiden kautta, sillä tällöin he eivät voi taata sen turvallisuutta. Lisäksi GRC kertoo, että Windows Defenderin Edge- ja Internet Explorer 11 -selaimiin integroitu SmartScreen-suojaus saattaa varoittaa virheellisesti, että kyseessä olisi haittaohjelma.
Lähde: InSpectre
Normaali kotikäyttäjä omistaa sen yhden koneen mitä käyttää ehkä koko perhe. Sillä hoidetaan lasten youtube videot, facebook pelit, pankkiasiat, sähköpostit, kaikki valokuvat sun muut. Se että pankkiasiat, omat valokuvat, sähköpostit jne. vuotavat pahimmillaan eteenpäin ja muiden käyteltäviksi ON ainakin minusta melkoisen paha tietoturvariski. Pienempi mutta ikävä on se että myös kaikki muut sivustot mille on rekisteröinyt (koko perhe) voivat joutua kaapatuiksi jos pahasti käy.
Toki on olemassa "kotikäyttäjää" mikä ei piittaa koneestaan ja se vaihdetaan "automaattisesti" muutaman vuoden välein uuteen (koska isi maksaa), jolloin se 3kk kokeiluversio virusturvastakaan ei niin haittaa, mutta todella monet käyttävät todella vanhoja koneita millä nyt pääsee asiat hoitamaan ja youtubesta ne muumi tms. lasten videot saa näkyviin jotta alle peruskouluikäiset lapset ovat hetken tyytyväisiä.
Sitten on IO-techin tyyppejä joista moni (ainakin kun lukee foorumia) käyttää tuhansia euroja vuosittain koneeseen, pelaa keskimäärin 720p resoluutiolla vähintään 400FPS, asuu kylmennetyssä konesalissa missä pyörii kymmeniä virtuaalipalvelimia ja pääkoneessa on muutama (tai ainakin 1) Titan luokan näyttis nestetyppisäiliön vieressä pelkästään benchmarkkeja varten vaikkei sillä ehtisi koskaan pelaamaan ja sitä prosessoriakin vaihdetaan keskimäärin 3+ kertaa vuodessa joten on lähinnä ikävä sattuma jos nyt alla onkin Intel eikä AMD kun tämä ongelma kävi ilmi.
No jos lähtökohta on että kotikäyttäjän tietoturva = 0 jokatapauksessa niin ei mitään muutosta tietysti tästäkään tule. Itse kuvittelisin että tällähetkellä hakkerit etsivät haavoittuvuuksia verkkoprotokollista, eli kun löydetään sopiva vuotokohta verkkopuolelta voidaan rootata valtava läjä koneita hyvin pienellä vaivalla ja vaikka asentaa se kiristysohjelma ilman käyttäjän tyhmyyttä, riittää siis että kone on kytkettynä internetiin. Joo toki tämä on vain teoreettinen haavoittuvuus…..
Kyllähän tämä nimenomaan on aivan käsittämättömän älytön tietoturvamoka myös kotikäyttäjän kannalta kun eritoten Meltdownia pystyy helposti hyödyntämään selaimen javascriptin kautta.
Ja jos joku sanoo ettei peruskäyttäjälle haitallista tietoa ole perus kotitietokoneen suojatussa muistissa niin hän on väärässä.
Makian näkäsiä kippuroita, porukka unohtaa lahjakkaasti sen että nopeuden hidastuminen ei välttis ole se ainut ongelma.
…paljon ikävämpää on se paljonko sitä cpu aikaa menee siihen karvan verran hidastuneeseen ajoon
Näin se oli 5v sitten. Nykyään kaikilla on tabletit ja pelit ja vehkeet. Ei niitä monessakaan taloudessa enää sillä yhdellä Windowsilla hoideta, usein jopa nollalla Windowsilla.
Joo kyllä näissä käppyröissä näkyy se todellinen ongelma mikä tästä tekee erityisen ikävän ja nuo patchit on pakko pitää tuolla vaikka kukaan ei edes ikinä keksisi tapaa hyödyntää tuota oikeasti.
Sopparikakkendaaleja odotellessa, jossa luvataan X verran palvelua Y-hintaan. 🙂
Puhumattakaan siitä paljonko vaikuttaa jonkun datacenterin sähkönkulutukseen.. Lisääntynyt CPU kuorma lisää suoraan sähkönkulutusta ja jäähdytystarpeen lisääntyminen taas lisää. Eli yhdellä pätsillä on paljon kerrannaisvaikutuksia.
Joo empä haluaisi olla jonkun datakeskuksen edes 5% kasvaneen sähkölaskun maksajana 😀
Microsoftin suoritinhaavoittuvuudet korjaava päivitys meni poskelleen? AMD-käyttäjät ongelmissa
Ei ole ensimmäinen huti jonka Microsoft on laittanut pihalle viimeisen vuoden aikana. Sieltä on tullut useampikin noita ongelmapäivityksiä
Kaikilla Skylakea vanhemmilla (joissakin paikoissa sanotaan, että Broadwelliä vanhemmilla) prossuilla voidaan käyttää (tai on pakko käyttää, jos bios-päivitystä ei tule) variantin 2 (Spectre) paikkaamiseen mikrokoodipätsien sijasta myös Googlen kehittämää retpoline-tekniikkaa, mutta se vaatii kaikkien suojattavien ohjelmien (esim. käyttöjärjestelmän eri osat, VM-hyperviisorit, muut kriittiset softat kuten salasanamanagerit) kääntämistä uudelleen. Ilmeisesti vielä ei ole tietoa siitä, aikooko esim. Microsoft käyttää retpolinea Windowsissa.
Odotellen jo ilmastoalarmistien hiilijalanjälki huutoja Intelin hq:n ulkopuolella bannerollien: "HW-BUGINNE SULATTI PUOLET ETELÄMANTEREESTA!"
"Ongelma tuntuu koskevan vain joitain AMD:n suorittimen omistajia. Erityisen ongelmallisiksi ovat paljastumassa tietokoneet, joiden sisuksista löytyy vanhempi Athlon 64 X2 -suoritin." Itsellä ryzen eikä ole ollut mitään ongelmaa päivitysten kanssa…Tämäkin koskee ainoastaan vaan antiikin käyttäjiä. Toikin prossu on ajalta jolloin ddr2 oli juttu.
Onneks on vielä athlon 64×2:sia kauheesti käytössä :tup:
Isommissa MS-päivityksissä on kanssa tuo tosiaan että joissain koneissa se menee aina kädelleen, vaikka olisi uudempaa rautaa alla. Syksyn/talven Office -saldo ollut aivan naurettava toiminnan rikkovien päivityksien osalta. Olen lukenut vain huhuja että osa koneista jäisi noissa Win10 päivityksissä 99% ja pakko palauttaa restore pointista. Toivon kovasti ettei näin ole oikeasti, koska muuten tulee duunissa verenpaine nousemaan.
Asus AI Suite II (1.01.14) hajosi KB4056892 päivityksen jälkeen (Stopped working eikä saa manuaalisestikaan käyntiin). Tietääkö joku pelaako Asus AI Suite III vanhempien emojen ja prossujen kanssa? Tuosta III:sta on ilmeisesti tullut jo KB4056892 kanssa toimiva beta versio. Vanha rauta on siis i7-2600K + Asus P8P67 Deluxe. Emon tukisivuilla on ollut jo vuosia vain Asus AI Suite II, joten en ole päivittänyt uudempaan AI Suiteen.
Overclock.netin foorumeilta löytyi myös postaus asiaan liittyen:
Haswell microcode 22h vs. 23h security (Spectre), performance and stability differences
4790K:n tulos tippui mikrokoodipäivityksen jälkeen Realbenchissä 9% (tämä siis Meltdown-päivityksen aiheuttaman hidastuksen päälle), ja prosessori on selvästi epävakaampi. Myös toisen triidiin postanneen käyttäjän Haswell alkoi puskea WHEA-erroreita uudella mikrokoodilla.
Jos mikrokoodi hidastaisi koko Intelin mallistoa näin paljon, niin sehän tarkoittaisi sitä, että Intelin IPC-etumatka Ryzeniin nähden käytännössä katoaisi kokonaan, eikö niin? Vai onko tämä vielä tässä vaiheessa liian pitkälle menevä johtopäätös?
Tää on vähän hepreaa mulle mutta omalle emolle eli Prime Z370P:lle olis biospäivitys saatavilla, onko tuo nyt tarpeen asentaa vai ei?
Microcode päivitys prosessorille on pakollinen, jos haluaa kokonaan suojautua. Windows (tai muun OS:n) kernel päivityksen lisäksi.
Tuo BIOS päivitys sisältää tosiaan CPU:n microcode päivityksen.
Version 0606
2018/01/04 8.47 MBytes
PRIME Z370-P BIOS 0606
1. Update CPU Microcode
2. Improve system compatibility and stability
Edelleen yhdeltä variantilta ei voi suojautua kokonaan.
EDIT: Ilmeisesti koko Asus Z370 sarja on saanut vastaavan BIOS päivityksen.
Juu kiitos tästä, päivitellään tuo bios nyt ainakin.
Omallekin Asus Z270M-Plus oli julkaistu bios päivitys 4.1.2018:
PRIME Z270M-PLUS BIOS 1002
"1. Update CPU Microcode
2. Improve system compatibility and stability"
Mutta kun asensin biossiin päivitystä, niin bios kertoi sen päivämääräksi tyyliin 4.12.2017.
Tota, saa jotenkin kuvan että jotain mennyt pieleen BIOS päivityksen myötä?
ASUS Ai-Suite 3 beta, with kb4056892 fix – ED Forums
Tosin onko tuossa kyse vain AI Suiten toimivuudesta.
Ajoin nopean testin pelkän patchin vaikutuksella. Eihän tämä anna nyt mitään kokonaisosviittaa mutta sitten vielä odotellaan microcode päivitystä.
Edit. Fixed
Mikrokoodipäivityksestä oli mielenkiintoista juttua…
LKML: Andi Kleen: [PATCH 01/11] x86/retpoline: Define retpoline indirect thunk and macros
Meltdown is only the tip of the iceberg… If you think KPTI (meltdown) performance impact is bad, wait until this Intel-specific Spectre fix lands in Linux.
Basically every indirect call (one instruction) turns into a seven-instruction sequence (retpoline) that will, due to preventing speculation, result in massive slowdowns. Unlike the KPTI patches, which only affect things on each system call, this happens on every indirect call and probably bloats the code considerably too. These are the patches that prompted Linus' angry response, and it's understandable: it's not an exaggeration to say these patches will be the biggest Linux kernel performance regression in history. Merging has been halted until the Intel devs add configuration flags to allow it to be disabled selectively (for example, for AMD CPUs).
Noita pelkällä Windows-päivityksellä tehtyjä tuloksia on jo internetti täynnä muutenkin.
Btw. Tosi hyvin näkyy tummalla teemalla nuo mediaseksikkäät mustat tekstit. 😀
http://metadata.ftp-master.debian.o…rocode/intel-microcode_3.20171215.1_changelog
Itse microcoodit päivätty välille 2017-11-20 – 2017-12-03, joten homma pitäisi olla kunnossa.
Kas, eli Tegen viestissä oli muutakin kuin tieto siitä että hän ajoi testit. Itse ei näkynyt tummalla alustalla mitään muuta kuin tuo ensimmäinen rivi 😀
Pistäkääs mikrokoodi-päivittäjät benchmark-tuloksia ennen ja jälkeen päivityksen, jos jaksatte. Meltdown-benchmarkkeja on jo netti väärällään, mutta mikrokoodipäivityksen jälkeen tehtyjä testejä ei vielä paljonkaan (tuohon aikaisemmin postasin yhden löytämäni).
Jäi nyt hieman epäselväks, et mitä SER-jätteeen omistajien olis tarkotus tehä noitten mikrokoodipäivitysten kanssa? Jotenkin vähä sellanen kutina et ei taida olla paljoo patcheja tulossa 9v vanhaan emolevyyn.
Ostaa uutta tai riskeerata tietoturvansa tulevaisuudessa.
Retpolinen keksineet googlen kaverit on saaneet aivan eri tuloksia. Neglible impact heidän omissa järjestelmissään:
"We shared Retpoline with our industry partners and have deployed it on Google’s systems, where we have observed negligible impact on performance."
Google Online Security Blog: More details about mitigations for the CPU Speculative Execution issue
Edit: Vahinkolainaus pois
Liittyiskö tähän se että tuo tarvii kaverikseen ne bios ja mikrokoodipäivitykset? Eli siis softakorjaus ei ole vielä yksin riittävä.
AI Suitekin meni rikki. Hyvä laittaa juuri kaverille konetta kun mikään ei käytännössä toimi. Kaikki vaatii säätämistä. Ryzen kokoonpano vielä liian uusi plus nämä Windows päivitykset jotka rikkoo asioita.
En tiedä. Tuo pasteamasi teksti ei kyllä mitenkään liity sellaisiin. Se on suoraan sitä googlen retpoline tekniikkaa.
Musta kotikäyttäjä voi jättää tuon microkoodipäivityksen asentamatta, tai näin ainakin itse tekisin jos pelaisin bäfää ja tarttis saada se 400 fps. Tuota ei kuitenkaan ihan heti pystytä hyödyntämään kotikoneiden käyttäjiä vastaan.
Mutta @Sampsa vois testit kuitenkin ajella. Esimerkiksi Cinebench olisi varmaan mielenkiintoinen sekä single että multiCPU tulos. Näkisi onko haitta prosentuaalisesti sama kumpaankin tulokseen. Esimerkiksi aluksi vanha OS, sitten MELTDOWN OS päivitys ja lopuksi vielä microkoodipäivitys.
CES 2018 ja tämä tapaus ei kyllä hyvin sovi yhteen :/
Ryzen koneella voinee vielä poistaa päivityksen? Voi mennä hetki että amd specific spectre haittaohjelma mihinkään ilmestyy.
Mulla ainakin antaa cinebench enempi tuolla meltdown päivityksellä.
katso liitettä 69266
@JuSiZ oliko tuossa myös bios päivitys jo mukana, vai pelkkä windows päivitys? Ymmärtääkseni Skylake, Kabylake, Coffee ottaisi suurinta hittiä kun niiden branch predictor ottaisi tuosta mikrokoodipäivityksestä eniten hittiä.
Kuluttajan kannattaa vaatia Inteli(n konkurssipesä)ltä uusi toimiva rauta tilalle veloituksetta. :think:
Joku vastas tuolla asus foorumilla kun kysyin 1003 BIOS:n vaikutuksesta. Laittoi tälläset tulokset pastella.
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
Vaikuttaisi siis jo korjaus BIOSit lähteneen jakoon?
Tai ostaa AMD:n prossu ja ei tarvitse kytkeä mitään pois käytöstä. 😀
Microsoft julkaisi tuon scriptin jolla jokainen voi tarkastaa tilanteen itse:
Uusin bios mutta ei ilmeisesti ole vielä R5E10/BW-E tullut microkoodipäivitystä
Intel Apollo Lake Windows 10 Benchmarks Before and After Meltdown & Spectre Security Update
N4200 / 4Gb muistia? / sisäinen 32Gb eMMC.
Tuo setti on jo muutenkin aika tehoton :p
Isoin ero varmaan eMMC 4K read tuloksessa (testi tehtiin monta kertaa, pahimmillaan putosi 14 MB/s asti, mutta vissiin sai monta kertaa tuota 17 MB/s tuloksen niin päätti laittaa sen), ennen (vasen), jälkeen (oikea):
Kuten huomaatte, muut read/write tulokset parantuneet 😮
Kokonaisuudessaan ei todellakaan edes 5% vähennystä suorituskykyyn.
Voisit oikeastaan toimittaa tuon asiantuntijalausunnon medialle, niin lakkaisivat ressukat hössöttämässä, kun selvästikään mitään päivityksiä ei ole edes tarvetta asentaa. ;D
Noi tulokset on niin pieniä että kovalevy rajoittaa.