Monet käyttäjät ovat arvuutelleet parhaillaan vellovan päivitysrumban keskellä onko se oma tietokone nyt vihdoin paikattu Meltdown- ja Spectre-haavoittuvuuksilta. Gibson Research Corporation on julkaissut verkkosivuillaan ratkaisun tähän arvuutteluun.
Gibson Research Corporationin julkaisema InSpectre-ohjelma kertoo lyhyesti ja ytimekkäästi kaikkien Windows-kokoonpanojen suojauksen tilan Meltdown- ja Spectre-haavoittuvuuksien osalta. Ohjelman kerrotaan toimivan kaikilla Windows-versioilla. Lisäbonuksena se antaa myös arvion siitä, ovatko päivitykset vaikuttaneet järjestelmän suorituskykyyn. Microsoftin mukaan vanhempien kokoonpanojen suorituskyky kärsii päivityksistä enemmän kuin uusien.
InSpectren kehittäjä toivoo, että ohjelmaa ei ladattaisi kolmansien osapuolten palveluiden kautta, sillä tällöin he eivät voi taata sen turvallisuutta. Lisäksi GRC kertoo, että Windows Defenderin Edge- ja Internet Explorer 11 -selaimiin integroitu SmartScreen-suojaus saattaa varoittaa virheellisesti, että kyseessä olisi haittaohjelma.
Lähde: InSpectre
Lähinnä se ettei kyse ole ainakaan omalla koneella kuin max 1-3 % muutoksesta. Sillä ei ole merkitystä. Jossain oli testattu 10-15 % eroavaisuutta suorituskyvyssä. Tiedoksi ettei GTX 1080Ti kortilla koskaan ole suurempaa vaikutusta ajurilla tuloksiin, jokaisella mittauksella ohjain voi turbot hieman erilailla, joten pitää ajella 10 ajoa että näkee keskiarvon siitäkin. Kuitenkin 10 % olisi jo 2300 p mikä näkyy selkeästi.
Vanhemmillahan taitaa muuten olla vielä pakettikone Nehalemilla ja seiskalla käyttökoneena. Turha varmaan odottaa päivityksiä mistään suunnasta. Noh, jospa tähän uskolliseen 2500k-sotaratsuun tulisi pätsiä, niin voisi hyvillä mielin loppusijoittaa sinne ja pistää vähän tuoreempaa alle taas vaihteeksi :psmoke:
Toisin sanoen monet käyttäjät ovat laittaneet muut arvailemaan koneensa paikkaustilannetta? "Arvuuttaminen" tarkoittaa sitä, että esitetään arvoitus (tai senkaltainen kysymys) jollekulle toiselle. Tarkoitus on varmaankin ollut sanoa, että "monet käyttäjät ovat arvailleet…".
Emme kirjoita puhdasta kirjakieltä, vaan kieltä käytetään hieman vapaammin. Lisäksi:
Lähetä palautetta / raportoi kirjoitusvirheestä
:facepalm:
Vinkin takia päätin poistaa avastin ja ottaa windows defenderin käyttöön. Jo alkoi päivitys löytymään. Sinäänsä huvittavaa, että meltdown päivitys oli jo reilun viikon asennettuna, mutta tänään tuli creators update, minkä jälkeen testi näytti koneen olevan taas haavoittuva eikä windows enää löytänytkään tammikuun tietoturva korjausta…
Päivitin biossin Gigabyte GA-H270N-WIFI emoon ja testasin winkkarilla.
Itsellä todennäköisesti menee ihan ok tämä haavoittuvuus hässäkkä.
KUNNOSSA
1. Macit kunnossa. Tosin huhun mukaan 10.13.3 päivitys (It offers additional fixes for the Spectre and Meltdown vulnerabilities that were discovered and publicized in early January and fixed initially in macOS High Sierra 10.13.2.)
2. Mobiililaitteet (iOS) kunnossa
3. Supermicro X7DAL-E+, Intel® 5000X (Greencreek) Chipset, 2x Intel® Xeon® Processor E5430: Ei haavoittuva eli kunnossa
4. Intel® NUC Kit NUC5i5RYH kunnossa
5. Synology DS-411-II: Ei haavoittuva eli kunnossa
Synology-SA-18:01 Meltdown and Spectre Attacks | Synology Inc.
HAAVOITTUVAT
1. Gigabyte FA-H270N-Wifi, i7-7700T pfSense käytössä. Korjaus tulossa
An update on Meltdown and Spectre
2. Zotac ZBox IQ01, i7-4770T, Intel H87: Korjaus tulossa helmi- maaliskuussa
Spectre & Meltdown Bug | ZOTAC
3. QNAP TS-469 Pro: Korjaus tulossa
Security Advisory for Meltdown and Spectre Vulnerabilities – Technical Advisory
5. Synology DS-411-II: Ei haavoittuva
1. Gigabyte FA-H270N-Wifi, i7-7700T pfSense käytössä. Korjaus tulossa
Mihin tarvitset noissa patchejä noihin haavoittuvuuksiin? Miten luulet, jotta joku voisi hyötyä noista aukoista? Ei noissa laitteissa pitäisi ajaa kolmannen osapuolen scriptejä tai muuta koodia, mitensattuu, kuten esim tietokoneen selaimissa.
Tässä scan pro audio testiä 8600 prossulla The impact of Meltdown and Spectre in the studio | Scan Pro Audio.
Eli ennen sai 64 samplen bufferilla samanaikaisesti 480 ääntä/raitaa erilaisilla efekteillä ja korjausten jälkeen 440. Noin 10% lasku pahimmillaan riippuen miten sen laskee, ja mielestäni sillä ainoalla kotikäyttäjälle oleellisella kuormalla.
Tää on mielestäni se pahin tapaus. Tosin jampalla on musta vähän siniset lasit, eli voi olla että haettu se pahin tehtävä, mutta testi softat ja muut laitteet valkattu siten että vaikutus ei ole niin hirveän paha mitä se voisi olla. Mahdollista tietenkin, että jotain muuta softaa käyttäen olisi tullut vieläkin pienemmät erot.
Eri asetukset kuin muissa testeissä? En löytänyt mitään vertailukelpoista tulosta muihin samantyylisiin testeihin. Näytti valikoidulta testiltä omilla asetuksilla.
Tällä viikolla tuli retpoline Linuxin 4.14- ja 4.9-kerneliin.
Spectre_v2:n kokonainen paikkaus kernelissä vaatii vielä kääntöä gcc:llä, joka tukee -mindirect-branch=thunk-extern fiitseriä.
kernelissä on jo tuki Ryzenin mikrokoodin lataukselle, mutta mikrokoodi-versio ei ole muuttunut /proc/cpuinfo:n mukaan, joten en tiedä tekeekö se /lib/firmware/amd-ucode/microcode_amd_fam17h.bin mitään.
Onkos Microsoftin suunnalta kuulunut mitään retpolinen käyttöönottoon viittaavaa? Vanhemmissa koneissa (Haswellista alkaen) retpoline olisi ainakin Googlen puheiden perusteella monessa suhteessa parempi vaihtoehto, kuin nämä Intelin juosten kustut mikrokoodiräpellykset.
Korjausta koskeva video julkaistu YouTubenssa;
Riippuu kotikäyttäjästä. Minulla Dellin T3610:llä yocto build otti ennen mikrokoodipaikkausta 80min nyt kun Dell julkaisi tällekin koneelle korjauksen niin vaatimattomat 158min.
Kone siis Dell T3610, 128GB ECC, E5 1650v2 Xeon, SSD käyttis, NVMe build levy, VMware WSPro 11 hostissa, jossa 16.04.3LTS. Virtuaalikoneelle allokoitu 16GB rammia ja 8 corea. Xeon on juurikin Haswell sukupolven laite enkä yhtään ihmettele että virtualisointipuolen porukat on käärmeissään …
Win10Pro päivitykset eivät vielä muuttaneet tilannetta mihinkään, mutta mikrokoodipäivitys sitte räjäytti pankin. Tarttee toivoa että jossakin vaiheessa tulee paikan paikko, muuten tämä kone muuttui juuri SER:ksi.
Olikohan jo täällä mutta Asrockin emoille tullut nyt liuta päivityksiä.
ASRock—New BIOS for Intel SA-00088 security update
Vähän nihkee toi Asrock kun saa kurkkia läpi mihin on ja mihin ei.
😮 Tuota se ei varsinaisesti ole emolevyjen käyttötarkoitus 😀
Mutta se on totta että en ole vielä tähänpäivään mennessä törmännyt emolevyvalmistajaan joka ei piilottaisi listaa BIOS päivityksen sisällöstä hirveänmonen klikkauksen taakse ja/tai typeriin nettisivun päälle aukeaviin ikkunoihin jotka ei pysty olemaan auki yhtäaikaa jonkin toisen BIOS päivityksen ikkunan kanssa niin että muutosten vertaileminen on mahdollisimman hankalaa.
Kuten täälläkin spekuloitu:
RedHat reverts patches to mitigate Spectre Variant 2 – gHacks Tech News
Jatkossa voisit mainita suoraan viestissä mikäli kyseessä on oman videon mainostus.:tup: Mutta koska se informatiivinen aiheeseen liittyen niin antaa nyt olla.
Klikkkasin itseni tuolle "Skyfall and Solace" sivulle koneella jossa on vain Microsoftin oma "virustorjunta" onko syytä olettaan että tuon sivun kautta olisi jotain eitoivottua onnistunut pääsemään koneellenin.
Eiköhän koneellesi tarttunut vähintään yksi crypto ransomware, joten toivo omistavasi hyvät varmuuskopiot.
Vitsi vitsinä, itse en huomannut tuolta tulevan kuraa koneelle. Taitaa olla lähinnä vitsitarkoituksessa tehty sivusto joka ei kauaa tule olemaan netissä.
Ei sieltä mitään ole tullut ellet erikseen sieltä jotain ladannut
Onkohan tätä ollu jo täällä jossain? Linus Torvalds antaa taas melkosen täyslaidallisen Intelin suuntaan:
Linux-Kernel Archive: Re: [RFC 09/10] x86/enter: Create macros to restrict/unrestrict Indirect Branch Speculation
Suomalaisguru ei anna armoa Intelille: ”Täyttä ja absoluuttista roskaa” samaa uutisoitu suomeksi. 🙂
Intel mokasi – Pyytää välttämään tuoreita tietoturvapäivityksiä
Ja lista prossuista joille ei kannata biosia päivittää:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf
Monen Ivyn ja Sandyn kohdalla "Intel did not post a variant #2 mitigation MCU for this product"
Anteeksi tyhmyyteni, mitä teen nyt?
Päivitin juuri BIOS:n (VIII RANGER / i5 6600k) 3703 versioon. Tein ilmeisesti typerästi, mitä voin tehdä tilanteen korjaamiseksi? Muok: prossu siis listalla joille ei BIOS-päivitystä suositella…
Taitoni/tietoni ovat hyvin rajalliset koodauamielessä, joten en todellakaan ymmärrä kaikkea mitä langassa on puhuttu.
Sori jos menee OT:ksi…
En ymmärrä, mikä ihme vimma porukalla on asennella tunnetusti ongelmia aiheuttavaa päivitystä kaikille laitteille, kun ei ole edes vielä tiedossa reikää hyödynnettävän. Ja vaikka olisikin, niin ongelma ei ole edes sitä vakavinta laatua, eikä tapahdu täysin itsestään, vaan vaatii käytönnössä koodin suorittamista.
Ei noihin bioksiin nyt kannata ainankaan kuukauteen koskea. Sitten katsoo, onko saatavissa ja jos on, niin onko vielä ollut ongelmia vai onko korjauksen korjaus tullut ja onnistunut. Jos ei, niin taas siirto kuukaudella eteenpäin.
Jos ongelmia ei esiinny koneen vakauden yms suhteen, en tekisi mitään. Jos onglemia esiintyy.. kone boottailee / kaatuilee miten sattuu vaikka ennen ei tehnyt, leiskauttaisin vanhemman BIOS:n takaisin.. toivoen että se myös vääntää sinne vanhemman CPU mikrokoodin.. ja sitten eikun odotellaan uutta pätsiä ja toivotaan parempaa onnea.
Kiitos. Ei ainakaan vielä oo mitään kummallisuuksia tehnyt…
Patched Laptops: Testing Meltdown & Spectre Patches on Ultraportable-Class Hardware
Linux puolella näyttäis olevan rutinaa että nuo meltdown päivitykset softalla (käyttiksenkautta) ei toimi vaan on valohoitoa niin että ainoa oikeasti toimiva Meltdown päivitys olisi firmware päivitys.
PS Sitten oma kysymys kun mulla on viimeaikoina (päivitysten jälkeen) ollut sellaista ongelmaa että tiedonkulku nettiinpäin ja netistäpäin lakkaa vaikka kaikki on muka kunnossa niin oliko joku näistä viimeaikaisistä päivityksistä sellainen joka voisi aiheuttaa tämänkaltaisia ongelmia Windows 10 koneessa.
Juosten kustu korjaus päivitys inteliltä eikä voida kunnola korjata uudella raudalla vaikka voisi. Helpompi mainostaa nopeana kun korjauspäivitys joka hidastaa on valiannainen. Linus Torwardsilta tuli hieno sähköposti kun ne koitti tunkea linuxin kerneliin tahallaan huonosti tehtyä patchiä.
macOS Sierra ja OSX El Capitan saivat eilen korjauksen tuohon Meltdown haavoittuvuuteen. macOS High Sierra korjattu jo aikaa sitten.
Kernel
Available for: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Impact: An application may be able to read kernel memory (Meltdown)
Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.
CVE-2017-5754: Jann Horn of Google Project Zero; Moritz Lipp of Graz University of Technology; Michael Schwarz of Graz University of Technology; Daniel Gruss of Graz University of Technology; Thomas Prescher of Cyberus Technology GmbH; Werner Haas of Cyberus Technology GmbH; Stefan Mangard of Graz University of Technology; Paul Kocher; Daniel Genkin of University of Pennsylvania and University of Maryland; Yuval Yarom of University of Adelaide and Data61; and Mike Hamburg of Rambus (Cryptography Research Division)
Linux testiä
Linux 4.0 To Linux 4.15 Kernel Benchmarks – Phoronix
Eivät ole mitään satunnaisia uudelleenkäynnistymisiä. Prosessori on deterministinen laite.
Juu sehän ei koskaan spekuloi mitään.
Intel on tuomassa Meltdown ja Spectre -korjatut prosessorit myyntiin tänä vuonna.
Lienevätköhän arkkitehtuurin juuritasolla korjattuja, vai vaan mikrokoodi + rauta-hotfix -korjauksilla viritettyjä versioita?
'Intel’s CEO said that the company was still working around the clock on addressing issues that have arisen in the wake of the discovery of Meltdown and Spectre vulnerabilities. Krzanich admitted that software fixes aren’t enough going forward and told investors that processor architecture changes were coming. “We’re working to incorporate silicon-based changes to future products that will directly address the Spectre and meltdown threats in hardware,” Krzanich asserted. “And those products will begin appearing later this year.”'
Intel Meltdown and Spectre-proof CPUs to launch this year
Onhan tämä aika mielenkiintoista. Sijoittajien silmissä tämä on onnistunut markkinointistrategia, joka tulee myymään miljoonia prosessoreita. Eivätkä käyttäjätkään tunnu olevan kovin käärmeissään ajatuksesta päivittää vasta ostettu vuotava kahvikuppi uuteen kuumaan prosessoriin, jossa on korjattu ainakin ne valuviat jotka kahvikupissa tiedettiin olevan sen tullessa markkinoille. Ei puhettakaan mistään kompensaatiosta, taikka tuotevastuusta vaikka tiesivät ongelmasta ennen julkaisua. Ei tästä paljoa muuta puutu kun että alkaisivat ottaa ennakkotilauksia vastaan…
Luonnollisesti päivityksiä ja asian olematonta vakavuutta alettiin miettiä vasta asian julkistamisen jälkeen, kuinkas muuten. Toki korjausten koodi pitää olla ensialkuun niin juosten kustua, että tulee sellainen hyvä fiilis että siellä korjataan lähes mahdotonta ongelmaa. Eipä silti, ei taida viikolla parilla olla suurta merkitystä vuosikymmenen vaivaan. Ne jotka ovat jo käyttäneet reikiä hyväkseen, ovat siivonneet jälkensä jo kauan aikaa sitten toisin kun kasperskyn pojat nsa:n toimistossa asioidessaan.
Ei tuossa niin sanota. Tuossa sanotaan että tulossa on Spectre ja Meltdown korjattuja prosessoreita jotka voivat olla vaikka parin watin Atomeja. Mitään tuossa ei luvata työpöytäpuolen korjatuista prosessoreista saati ylipäätään mitään todellisesta saatavuudesta.
Ihan normaalia settiä. Tulee väkisinkin mieleen eräs toinen firma jonka tuotteessa olevat viat ovat "ominaisuuksia". Se että käyttäjät hyväksyvät tuollaiset asiat, kertoo käyttäjistä aika paljon.
Onneksi olen toisissa leireissä.
Olisivatko Intelin asiakkaat olleet tyytyväisempiä, jos se olisi lopettanut kaikkien prosessoreiden myynnin kertalaakista kun bugista ilmoitettiin sille?
Niinpä. Kukaanhan ei voi tietää kuinka pitkään siellä on asiasta tiedetty sisäisesti, siinä mielessä yksi mittari tulee olemaan minkälaisia muutoksia korjaukset ovat vaatineet arkkitehtuuriin. Kovin suuria muutoksia vuodessa tuskin tehdään.
Mustalaisleirissäkin on kuluttajan kannalta turvallisempaa…
Onko jossain ollut tyytymätön intelin asiakas? Kaiketi tiedät että google ilmoitti asiasta intelille kesäkuussa, hyvissä ajoin ennen coffee laken julkistusta? No mitäpä intel teki? Ei mitään. Mitä olisi voinut tehdä? Vaikkapa mikrokoodi päivitykset spectreen.
Mutta ketäpä kiinnostaa, riittää että sen uuden prossun saa ostaa.
Niin, mitä Intel olisi voinut tehdä?
Kiirehtyä nykyistä enemmän mikrokoodipäivityksiä tai viivästyttää coffee laken julkaisua kunnes ne olivat valmiit? Mutta mitä hyötyä coffee laken viivästyttämisestä olisi asiakkaille ollut? He olisivat joutuneet joko ostamaan Skylaken tai olemaan ilman prossuja.
Etenkin serveripuolella vaihtoehtoja ei ole. Serverifarmin vanhat koneet lahoavat alta ja ne on uudistettava, ihan se ja sama onko tarjolla bugisia tai bugittomia prossuja.
Intel: Chips coming later this year to be free of Spectre and Meltdown flaws
Intelin todellinen viesti: "![[IMG]](https://yt3.ggpht.com/-J-QGAl2jdhQ/AAAAAAAAAAI/AAAAAAAAAAA/z6q2VoARdqQ/s48-c-k-no-mo-rj-c0xffffff/photo.jpg)
"
Mooren laki tuli "virallisesti" tiensä päähän, kiitos Spectren ja meltdownin toteaa Mark Pesce. Mielenkiintoisena "faktana" tuolta voisi poimia esim. sen että hänen mukaansa tietotekniikka (prosessorit, ei näytönohjaimet) tulevat olemaan hitaampia, kalliimpia sekä vaikeammin toteutettavia ja paras suorituskyky vuosiksi eteenpäin nähtiin noin 1kk sitten myynnissä olleilla prosessoreilla / osilla (eli ennen haavoittuvuuksien löytymistä).
Montako viikkoa kesäkuusta on lokakuuhun? Entä montako viikkoa näiden juosten kustujen korjausten julkaisuun on mennyt? Ei kuulosta kovin kiireeltä minusta. Mitä asiakkaisiin tulee, niin kovin moni hetkeen kaby laken jälkeen mitään odotti. Kaby lake x:n jälkeen vielä vähemmän. Sikäli uuden ennenaikaisen tulokkaan suorituskyky oli positiivinen yllätys ja ehkä juuri sen takia intel saattoi oikeuttaa nopean syklin ilman päivitysmahdollisuutta. Hintansahan sillä nopeudella sitten oli.
Nähtäväksi jää opitaanko tästä mitään loppujen lopuksi.
Ratkaisu molempiin kysymyksiin: Osta AMD.
Samalla vastaus siihen miksei Intel tehnyt mitään.
AMD vuosituotanto on x miljoonaa prosessoria. Kysyntä intelin prossuille on 10x miljoonaa prosessoria.
90% asiakkaista olisi jäänyt ilman prossuja tai joutunut silti ostamaan Intelin. Olisiko se näiden asiakkaiden kannalta parempi?
Edeleen: Mitä hyötyä KENELLEKÄÄN muulle kuin AMD:lle olisi ollut siitä, että Intel olisi lopettanut myynnin tai viivästyttänyt julkaisuja?
Ei oikein vakuuta tuo artikkeli.
Ensimmäinen moka on sotkea Mooren laki ja prossujen suorituskyky keskenään. Tässä kohtaa olisi oikeastaan voinut jo lopettaa lukemisen.
Toisekseen, Pesce vihjailee että Meltdown-korjaukset väistämättä aiheuttavat jopa 30% pudotuksen suorituskyvyssä, mutta jättää mainitsematta, että AMD:n prosessoreilla teho laskee tasan nolla prosenttia, koska korjausta ei tarvita. Intelinkään puolella ei välttämättä menetetä yhtään tehoa, kunhan saavat hardware-tasolla korjatut prosessorit markkinoille. Linus Torvaldsin kommentti aiheeseen liittyen:
Spectren variantti kakkoseen pätee sama kuin Meltdowniin. AMD:llä tehoa ei menetetä. Intel joutuu lisäämään hieman lisäämään prossujensa kokoa saadakseen SpectreV2:n korjattua, mutta taas Linusta lainaten:
Artikkelin väitteessä, että Meltdown & Spectre tekevät piirisuunnittelijoista varovaisempia ja innovaatioista harvinaisempia, saattaa ehkä ollakin jotakin perää. Mutta toisaalta uusien lähestymistapojen etsiminen tietoturvaongelmien ratkaisemiseksi saattaa hyvällä tuurilla jopa johtaa ihan uusiin innovaatioihin ja kehityksen nopeutumiseen.