Monet käyttäjät ovat arvuutelleet parhaillaan vellovan päivitysrumban keskellä onko se oma tietokone nyt vihdoin paikattu Meltdown- ja Spectre-haavoittuvuuksilta. Gibson Research Corporation on julkaissut verkkosivuillaan ratkaisun tähän arvuutteluun.
Gibson Research Corporationin julkaisema InSpectre-ohjelma kertoo lyhyesti ja ytimekkäästi kaikkien Windows-kokoonpanojen suojauksen tilan Meltdown- ja Spectre-haavoittuvuuksien osalta. Ohjelman kerrotaan toimivan kaikilla Windows-versioilla. Lisäbonuksena se antaa myös arvion siitä, ovatko päivitykset vaikuttaneet järjestelmän suorituskykyyn. Microsoftin mukaan vanhempien kokoonpanojen suorituskyky kärsii päivityksistä enemmän kuin uusien.
InSpectren kehittäjä toivoo, että ohjelmaa ei ladattaisi kolmansien osapuolten palveluiden kautta, sillä tällöin he eivät voi taata sen turvallisuutta. Lisäksi GRC kertoo, että Windows Defenderin Edge- ja Internet Explorer 11 -selaimiin integroitu SmartScreen-suojaus saattaa varoittaa virheellisesti, että kyseessä olisi haittaohjelma.
Lähde: InSpectre
Kyllähän tarvittavat päivitykset täytyy asentaa. Tietysti aikanaan kärsin, kun oli tuo päivityspalvelu päällä ja päivityksen sijaan tulikin loveson.
Mutta tuo microkoodi päivitys tulee hidastamaan konetta aika reippaasti ja riski on aika olematon normaalille nettisurffaajalle. Meltdown on asia erikseen ja siltä pitää suojautua.
katso liitettä 69310 katso liitettä 69311
Tein omilla romuilla testit ennen ja jälkeen prossukoodin, 1 siis ennen.
Intel® NUC Kit NUC5i5RYH
https://downloadmirror.intel.com/27426/eng/RY_0368_ReleaseNotes.pdf
Intel® Product Security Center
PS C:WINDOWSsystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
Eli tuossa tapauksessa (OS update + microcode asennettu) 2/3 varianteista täysin suojattuja?
Eikö se näin mene. Kolmannen kohdalla voi vain hyväksikäyttöä vaikeuttaa. Tosin olikos se nyt myös se huomattavasti vaikein käyttää?
Jos tarkoitat tuota mun viestiä niin OS päivitetty ja asennettu uusin bios (368)
Osassa 4KiB testejä näköjään tullut hurjasti takkiin.
No juu mut kokonaisvaikutus kun katsoo cinebenchin tuloksia aika mitätön loppupeleissä.
Niin siis selvennykseksi, oliko tuossa se bioskoodi mukana, vai pelkkä windows päivitys?
Bioskoodi mukana ja itse asiassa tarkastan vasta nyt OS päivitykset.
edit: OS patch mukana myös
Viittitkö sitten ajaa muitakin benchmarkkeja. Bioskoodinhan pitäisi vaikuttaa aika negatiivisesti branch predictoriin. Cinebench (multithread) ei välttämättä ole paras mittari tälle.
Muistakaa samalla katsoa prosessorin käyttöastetta kun testaatte
Kerro mitä testejä, en minä näistä mitään tajua kunhan seurailen thriidiä vaan 😀
Onko sulla mistään testistä esim, firestrike/pcmark yms referenssiä heittää ilman päivityksiä? Jos ei ole niin testit ei itsessään paljon kerro ilman vertailupohjaa.
3770K ja Z77 Asrock Extreme 4:
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
No sitten vain odotellaan että BIOS-päivitystä tulisi joskus… :S
No vain nuo tein ennen updateja, ainahan noi pois saa ei siinä jos lisää innostun testaamaan 🙂
Saisipa nuo fiksit asentaa vapaaehtoisesti. Minua ei oikein nappaa että kysymättä puukotetaan suorituskykyä.
Aja tuosta Cinebenchistä single thread benchmark vaikka verrokiksi, niin joku jolla on vastaava prossu voisi ajaa ilman bios päivitystä. Saat sen single thread benchmarkin näkyviin ku täppäät siitä file kohdasta päälle sen advanced benchmarkin. Luulisin tuon brach predictionin patchayksen vaikuttavan negatiivisesti nimenomaan yhden säikeen suorituskykyyn.
Laitoin asuksen 1003 BIOSin. Tältä näyttää nyt.
Meinaan.
Ja juu, näen tuosta Powershellin tekstistä että näin teit.
Pointtina vaan, selvennyksenä, että eikös tuossa keississä ole sitten Spectre/Meltdown varianteista 2/3 blokattu. Kuten myös japau:lla yllä tätä viestiä ennen.
Kolmatta kun ei voi täysin estää.
Pelkällä OS päivityksellä voi estää vain 1/3. BIOS (tai siis microcode) sitten estää tokan.
Security hole in AMD CPUs' hidden secure processor revealed ahead of patches
Onko tää joku uus reikä vai näiden variantti?
Erillinen se on.
Liittyy johonkin AMD vastineeseen Intelin Management Enginestä.
AMD PSP Affected By Remote Code Execution Vulnerability – Phoronix
Tuolla myös ketju aiheesta. Eiköhän joku ole 7 sivun aikana kerännyt tl;dr linkkejä/tekstejä.
AMD PSP Affected By Remote Code Execution Vulnerability – Phoronix Forums
Fujitsu ah532/g21 (HM76) sama speculation control settings tulos ja piirin ikä taitaa sotia vastaan BIOS päivitykselle.
Paska korjaus asentui ja rikkoi Ai Suiten.. Tuo paska ei edes kysynyt että saako päivittää vaan forcena kakkoseen. prkl!
Ei tässä muuten mutta Ryzenin kanssa kun tuolla patchilla ei juuri mitään tee. Rikkoo vain asioita. 🙁
Edit:
Ryzenilla:
PS C:WINDOWSsystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : False
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Näenkö jostain helposti onko nämä aukot paikattu omasta koneessa?
Hieman oma-aloitteisuutta, yksi sivu taaempana:
Njoo itsellä kanssa AI Suite sanoi sopimuksen irti kun tämä päivitys tuli. Z97I-PLUS lankulla.
En tiedä, mutta spekuloin, että ai suite on ohjelma, joka on tehnyt ”laittomia” kernel-kikkailuja. Sama mikä vaivasi antiviruksia. Hyvä että tallaiset softat paljastuu.
Toki voisi ihmetellä että miksi niitä on voinut tehdä tähän asti.
Räbässä kanssa puhuivat että parilla mennyt AI Suite rikki, eli et ole ainoa.
Miksiköhän minulla tulee tämmöinen valitus tuossa powershell tarkastuksessa:
Import-Module : File C:Program FilesWindowsPowerShellModulesSpeculationControl1.0.2SpeculationControl.psm1 cannot be loaded because running scripts is disabled on this system. For more information, see about_Execution_Policies at ht tps:/go.microsoft.com/fwlink/?LinkID=135170. At line:1 char:1 + Import-Module SpeculationControl + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : SecurityError: (:) [Import-Module], PSSecurityException + FullyQualifiedErrorId : UnauthorizedAccess,Microsoft.PowerShell.Commands.ImportModuleCommandEDIT: Ja kannattaisiko firefoxiin asentaa noscrip?
Sama.
Korjaus:
AI Suite 3 Beta Version 3.00.10 – user test/report thread
Ainakin itsellä tuon korjauksen kanssa lähti taas normaalisti pelittämään. On kyllä silti hieno force päivitys, josta osalle on vain ja ainoastaan haittaa.
because running scripts is disabled on this system
Ajoit adminina?
Katohan. Ite en tosiaan AI Suitea käytä niin mennyt ohi. :tup:
-edit No sieltäpä tuop jo tulikin
Kyllä, tuolla on lisäksi powershell ISE, mikä tämä on?
Anna komento
Jälkeenpäin, jos haluat taas estää skriptien ajon:
Linkissähän on ratkaisu ongelmaan kerrottu 🙂
ensin tarkastaa tilanne:
PS C:WINDOWSsystem32> Get-ExecutionPolicy
Restricted
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine Undefined
Ja korjaus
PS C:WINDOWSsystem32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All Suspend [?] Help (default is "N"): A
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned
Ei missään hiton nimessä Unrestricted!
set-executionpolicy remotesigned
Edit. Jaahas tulikin useampi vastaus 🙂
Set-ExecutionPolicy Unrestricted
EI ei ja EI
Noh, muutin ohjeeseen RemoteSigned. En kyllä ymmärrä, mitä kamalaa siinä voi sattua, jos yhden Microsoftin skriptin ajamisen aikana policy on Unrestricted.
Koska valtaosa ohjeista ei muista kertoa että se kannattaa palauttaa.
Muuten tuon komennon ajaminen siirtää tietoturvan scriptien osalta windows xp aikaan .
10 pisteen ero cinebenchissä voi johtua jo siitä että naapurissa kissa aivastaa. Ei siis mitään eroa tämmöisessä. CDM tulos oli oikeen hyvä lisä ja kertoo sekin jo paljon.
AMD Did NOT Disable Branch Prediction With A Zen Microcode Update – Phoronix
AMD:n mikrokoodi-update ei kytke haarautumisen ennustusta pois päältä, mutteivat myöskään kertoneet mitä se tekee.
Ei mitään. Itse ajelin tuon sillä että sen session aikana on unrestricted. Foliohatut vaan hattuilee, 'kauheeta'.
Toiseen asiaan;
Tulin juuri uudenvuoden vietosta ja ajelin tässä tuoreeltaan pätsit sisään, tuossa nimimerkin & kuvan alapuolella näkyy kokoonpano niin en tähän sitä enää lainaa.
En huomaa eroa cinepelissä tai realbenchissä, enkä myöskään peleissä OW ja PUBG. Firestrikessä on hävinnyt pisteitä, kellot ja kokoonpano sama mutta toisaalta mulla on normaalistikin jotain 200pts varianssia tuossa.
Loppujenlopuksi tehohävikki pelikäytössä taitaa olla lähellä nollaa, jos sitä edes on.
Nyt ajettu:
I scored 25 806 in Fire Strike
SCORE 25 806 with NVIDIA GeForce GTX 1080 Ti(1x) and Intel Core i7-8700K Processor
Graphics Score
31 640
Physics Score
21 981
Ennen näitä pätsejä:
I scored 26 524 in Fire Strike
SCORE 26 524 with NVIDIA GeForce GTX 1080 Ti(1x) and Intel Core i7-8700K Processor
Graphics Score
32 991
Physics Score
22 645
Juu vaikka puhutaan että pelit ei kärsi tästä ongelmastta niin kyllä se kiertotienkautta vaikuttaa käytännössä kaikkiin moninpeleihin kun palvelinrauttaa tarvii enempi se pelin pyörittämiseen samalla laatutasolla niin pelifirmat ottaa tuon kustannuserän huomioon tehdessään laskelmia siitä paljonko haluavat voitoja sen pelin myynnistä (ts lisää lootbokseja).
Onhan tuossa jo 700 pistettä. En kyllä keksi miksi graphics scoreen tulee noinkin iso muutos. Tuossahan on 1300 pistettä eroa. Oliko myös bios päivitys sisällä?
Ei oo tullu asrockilta vielä uutta BIOSsia, eli vain noi windowsin päivitykset.
Graffa-scoreen varmasti vaikuttaa se että mulla on geforcen overlay sekä rivatuner nyt päällä (kun teen videoita). Siihenhän tällä pätsillä ei millään mielikuvituksella voi olla mitään vaikutusta.