Meltdown- ja Spectre-haavoittuvuudet ovat olleet viime päivien kuumin puheenaihe. Nyt Intel on kertonut omasta edistymisestään haavoittuvuuksien paikkaamiseksi.
Intelin mukaan yhtiö on partnereidensa kanssa saanut valmiiksi haavoittuvuudet paikkaavia päivityksiä suurimmalle osalle yhtiön tuotteista. Mikäli aikataulut pitävät, lupaa yhtiö ensi viikon loppuun mennessä saada julkaistuksi päivitykset peräti 90 prosentille prosessoreista, joita se on julkaissut viimeisen viiden vuoden aikana.
Käyttäjät joutuvat kuitenkin odottamaan päivityksiä hieman pidempään, sillä Intel jakaa omat päivityksensä kumppaneillensa eikä loppukäyttäjille. Käyttäjät joutuvat siten odottamaan, että heidän tietokoneensa tai emolevynsä valmistaja julkaisee päivityksen, johon on sisällytetty Intelin korjaukset. Osa päivityksistä tulee luonnollisesti myös käyttöjärjestelmäpäivitysten mukana. Intel kehottaakin kaikkia käyttäjiä pitämään automaattiset päivitykset päällä niin käyttöjärjestelmän kuin muidenkin mahdollisten sovellusten kohdalla, jotta päivitykset asentuvat mahdollisimman nopeasti.
Lähde: Intel Kuva: Paul Pearce @ Twitter
Tässä ilmeisesti lisää Googlelta
Google Online Security Blog: Today's CPU vulnerability: what you need to know
Intelin dioja tapauksesta (edit: ilmeisesti intelin tällä hetkellä menevän conference callin yhteydessä julkaistu):
https://redirect.viglink.com/?format=go&jsonp=vglnk_151501928049211&key=08a8dcb30b28eed5c1da2bd64b4ca559&libId=jbzn69ph0101045l000MAcvyjju1knaur&loc=https://forums.anandtech.com/threads/massive-security-hole-in-xeons-incoming.2532563/page-8&v=1&out=https://s21.q4cdn.com/600692695/files/doc_presentations/2018/Side-Channel-Analysis-Security.pdf&title=Page 8 – Massive security hole in Xeons incoming?&txt=https://s21.q4cdn.com/600692695/files/doc_presentations/2018/Side-Channel-Analysis-Security.pdf
Lievästi off-topic: ilmeisesti jokin lakifirma tutkii Intelin CEO:n osakkeiden myyntiä
Bronstein, Gewirtz & Grossman – Class Action New York
Ei se AMD:n prossu muutukaan paremmaksi. Intelin prossu sen sijaan muuttuu huonommaksi.
Aika oudolta kuulostava tweetti, koska ei vihjaa siihen, että ongelmaa olisi korjattu, vaan vain puhuu siitä että workaroundin suorituskykyhaitta vähenee.
Luulisi, että ennemmin haluaisivat poistaa koko ongelman kuin vähentää workaroundin hittiä, mutta Cannon Laken kehitys lienee niin pitkällä, että LSUita on liian myöhäistä muuttaa, mutta jotain muuta osaa piiristä pystytään vielä viilaamaan. Tulee mieleen esim. jotain sivutaulujen cachettämiseen liittyvää, jotain prefetchiä niille kernel-kutsun yhteydessä tms.
Jotain muutakin tuosta:
Project Zero: Reading privileged memory with a side-channel
Well ei ole vielä Intelin tulevissa prossissa päivitystä tämän suhteen. Ehkä ensivuoden malleissa tai sitä seuraavissa. Jos korjaus nykyisin markkinoilla oleviin ei onnistu mikrokoodilla, niin ei se onnistu nyt markkinoille tuleviinkaan.
Ne, jotka eivät ole vielä ollenkaan tuotannossa, vaatinevat pientä prosessijumppaa, joka viivästyttää prossan markkinoilletuloa ihan kohtuullisesti. Kultakala voinee paremmin arvioida kuinka kauan. Itsellä ei aavistustakaan…
Googlen tekninen selitys:
Project Zero: Reading privileged memory with a side-channel
Ensimmäinen noista kolmesta toimii myös Bulldozer-johdannaisiin, eli kaikki AMDn prossut ei ole immuuneja.
Tämän tiedon nojalla se AMDn kernel-patchi on aika tyhmä. Näin nopeasti sitä lopetetaan vanhojen prossujen tukeminen. Excavator-prossuja on kuitenkin paljon myynnissäkin vielä, Raven Ridge on vasta tulossa.
Olin siis väärässä aiemmassa kommentissani jossa arvelin että AMD ei ole haavoittuvainen koska ei optimoi yhtä aggressiivisesti kuin Intel.
Noiden hyödyntämisen käytännöllisyydestä:
Yhdellä noista haavoittuvuuksista saavutettiin 1.5kB/s kaistanleveys siihen luvattomaan muistinlukemiseen. Menee kuukausia, että saa kaiken muistin luettua.
Vergen mukaan näyttää Microsoft alkaneen jaella hätäpäivitystä Windows 10:neen, itsellä ei kyllä vielä Windows Updatesta näy. 7 ja 8.1 tulee saamaan päivityksen Patch Tuesdayna.
twitter.com/nicoleperlroth/status/948684376249962496
Kakkosexploitti perustuu haarautumisenennustukseen.
Esimerkkikoodi oli toteutettu tähtäämään Haswellin haarautumisenennustimeen, mutta AMDn virallinen selitys miksi AMD ei muka ole haavoittuvainen ei oikein päde tuota vastaan, koska tuo ei perustu spekulatiivisiin lukuihin laittomista osoittesta, vaan laillisiin haarautumisiin osoitteissa, jotka haarautumisenennustimessa aliasoi halutun osoitteen kanssa.
Eli AMD olisi ehkä tuollekin todennäköisesti haavoittuvainen, JOS koodista tekisi version joka tähtää nimenomaan jotain AMDn prossua vastaan. En kuitenkaan tunne AMDn haarautumisenennustuksen yksityiskohtia että pystyisin tätä varmaksi sanomaan.
Ymmärsinkö väärin, että vain tuo Variant 3 olisi se mitä sillä PTI-patchilla korjataan ja sen takia kaikki AMDn prossut voidaan jättää pois luvuista?
Aiheesta on nyt tulossa useampia uutisia io-techiin, linkitämme uutisten kommentit tähän yhteen ketjuun, jotta keskustelu pystyy yhdessä paikassa eikä pirstaloidu.
Hyvä pointti, tuo voisi selittää. Eli silloin siinä patchissä olisikin järkeä.
Cumulative Update KB4056892 Windows 10 v1709 Build 16299.192 – Windows 10 Forums
Testatkaa Lightroomilla. Jollain isolla tietokannalla. Please.
Ainakin ASUS ja Asrock ovat jo julkaisseet BIOS- päivityksistä erillisen päivitysohjelman ME- firmwarelle.
Itse en olisi näin sinisilmäinen. Minusta tämä vaikuttaa päätökseltä hakea suorituskykyä tietoturvan kustannuksella, pre-fetch kun taisi olla ennen muistialueen sekoittamista. Lisätään tähän päälle uusia löydöksiä, joilla saadaan suorituskykyä pre-fetch -tekniikasta, kun suoritetaan useampia säikeitä, ja jätetään edelleen se tietoturva vähemmälle, niin en yhtään ihmettele, että tähän on päädytty. Kysymys kuuluukin, kuinka Intelin suunnittelijoilla ei käynyt mielessä tälläiset sivuvaikutukset, vai jätettiinkö ne vähemmälle huomiolle bisnespäätösten painaessa vaakakupissa enemmän.
Nopea tiivistelmä tähän ennen uutista:
On havaittu kaksi kriittistä haavoittuvuutta prosessoreissa, joita voi kutsua bugiksi.
1. Meltdown
2. Spectre
Meltdown koskee vain Intelin prosessoreita ja tähän on Linuxissa korjauksena se Kernel Page Table Isolation -ominaisuus.
Spectre koskee käytännössä kaikkia laitteita älypuhelimista pilvipalvelimiin ja kaikkia valmistajia. Hyökkäys on vaikeampi toteutta, mutta paikkaaminen melkein mahdotonta.
Hyökkäysvariantteja on 3 kpl:
So far, there are three known variants of the issue:
Variantit 1 ja 2 liittyy Spectreen ja variantti 3 on Meltdown.
Meltdown and Spectre
Syntyipä yhdestä löydöstä iso soppa. Saas nähdä mitä tuon spectren korjaamiseksi tehdään valmistajien puolelta.
Ihan kuin management engine haavoittuvuudet ei olleet tarpeeksi, nyt lensi korporaatioiden IT vastaavilla kahvit näppäimistölle uudestaan. 😮
En ymmärrä. Haluatko auttaa?
Tuolta löytyy MS:n pätsi tähän asiaan, sen saa Windows Updatesta tai manuaalisesti Windows Update Catalogista (linkit tuolla)
Mutta tossahan ei puhuta tästä haavoittuvuudesta?
Ilmeisesti tuohon sisällytetty.
Windows Update ei tarjoa mitään minulle (koontiversio 16299.125 ja tuossa ylempänä mainitaan 16299.192) ja Windows Update Catalogissa ei ole mitään
catalog.update.microsoft.com/Search.aspx?q=KB4056892
Eiköhän se sieltä vuorokauden tai parin sisään tule.
Voisiko noista saada jonkinlaisen yhteenvedon teknisesti rajoittuneemmille, jossa olisi ns. rautalangasta väännetty mistä ja miksi on kyse. Nyt keskustelussa on aikalailla teknistä termistöä jota asiaa seuraamaton ei ymmärrä mistä on kyse.
Tässä on aika hyvin tiivistetty. Meltdown and Spectre
Linus-setä on hyvin vihainen :eek::rofl:
LKML: Linus Torvalds: Re: Avoid speculative indirect calls in kernel
Mihin AMD unohtui Linusilta? ARM on samaan tapaan haavoittuva Spectrelle kuin AMD eli sen suhteen se ja sama
Arm Processor Security Update – Arm Developer
Meltdown eli Variant 3 ei olekaan Intel exclusive, vaan koskee myös osaa ARMin Cortex-A-ytimistä
Taitaa liittyä tuohon intel only haavoittuvuuteen toi mesoominen.
Joka loppujen lopuksi koskeekin myös ARMia? 😀 AMD on ainut puhtailla papereilla kolmesta suuresta Meltdownin suhteen
Jep.
Voi olla että tästä käynnistyy melkoinen kisa että kuka tuo ensin markkinoille prosessorin jossa spectre on paikattu.
Ei kyllä ihan hetkeen tarvi sellaista odotella markkinoille.
Voi helvetti, pitääkö tässä alkaa patchaamaan kohta kaikki tietokone, puhelin, Raspberry, reititin jne.
Enpä usko. Kernelipäivitykset korjaavat tietoturvaongelmat nopeuden kustannuksella, ja eniten hittiä ottavat ohjelmat joko optimoivat mahdollisuuksien rajoissa tai eivät. Työpöytäkäyttäjille tämä ei tule vaikuttamaan juuri mitenkään, mutta servupuolella tilanne voi olla käyttötarkotuksesta riippuen hyvinkin erilainen. Olen kyllä näissä asioissa täysi maallikko, mutta käsittääkseni PCID:tä tukevilla prossuilla hidastukset voidaan ainakin teoriassa korjata softapuolella ilman mainittavaa hidastusta suorituskyvyssä. EPYCit mennee silti jatkossa kuin kuumille kiville.
Mitenkäs vaikka joku pfSense, joka rakentuu bsd:n ympärille. Kuinka asia siinä bsd:ssä korjataan?
Re "Intel responds to security research findings"
Details could not be discussed publicly o_O
Juuh, tän haavoittuvuuden yksityiskohdat oli tarkoitus tuoda julki vasta myöhemmin. Tuo linkkaamani vastaus on about tuntia julkistamista vanhempi.
Ei minua oikeastaan kiinnostanut kuin tietää, että onko tällä samat vaikutukset kuin Linuxissa eri cpu-valmistajille, mutta jäämme kai sitten odottelemaan
Ongelma tuon Spectren kanssa on vain se, että sitä ei kernel päivityksellä korjata. Se on kaikkien nykyprosessorien arkkitehtuuriin sisältyvä "ominaisuus", oli valmistaja kuka tahansa. Meltdownia, joka koskee Inteliä ja joitain ARM-ytimiä, korjataan kernel-päivityksellä. Spectren korjaaminen vaatii arkkitehtuurin uudelleensuunnittelua. Sen "hyvä" puoli on, että onneksi se on varsin vaikeasti hyödynnettävissä Meltdowniin.
Sami Riitaoja tuolla aiemmin mainitsi saman asian, mitä pohdiskelin eilen nukkumaan mennessä itsekseni. Tuo Meltdown rautabugihan ei mihinkään poistu millään kernel-päivityksellä ja haavoittuvuus sinällään siis säilyy edelleen. Päivityksen jälkeen on vain luotettava siihen softaan, eli käyttikseen, että homma todellakin toimii 100%:n turvallisesti. Jos ylläpitäisin jotain pirun kriittistä järjestelmää, en olisi edelleenkään täysin rauhallisin mielin tietäen, että se Meltdown on edelleen olemassa.
Merge branch 'x86-pti-for-linus' of git://git.kernel.org/pub/scm/linu… · torvalds/linux@00a5ae2 · GitHub
Linusin tekemä patchi Linuxin Kerneliin ei näytä vaikuttavan AMD lopulta.
Onkohan tuo varmasti KB4054022 kun minulle tuo on tullut jo marraskuun lopulla?
Ääh luin versionumeron väärin 😀
Tuohan on suoraan se AMDn tekemä patch, josta täällä on jo sivutolkulla puhetta. 🙂
Täytyy sanoa, että sain aamunaurut tästä. Harmi kun en ostanut Inteliä kuin gäppäsi alas. Noh, täytyy katsoa joukkokanneriskit vielä ensin.
Veikkaan, että tämän vuoden tuotteisiin (jos ehtivä) korjaus on kyllä tasoa purukumi.
Kyllä prosessorin suunnittelu ja validointi alusta loppuun vie sen verran aikaa, että varmaankin nyt vain korjaavat tämän niin minimimuutoksella kuin mahdollista, että tuotejulkistukset eivät myöhästy.
Tuloksenteko ja Osakekurssi on se pyhistä pyhin. Muut ongelmat hoitaa valehtel…. Ei kun PR-osasto. Näin se menee pörssiyhtiöissä.
Hauskaa nähdä Intelin kiemurtelevan. Lakiosastollakin väännetään varmaan 24t päiviä
Ja lakiosaston budjetti taisi myös kadota. "tehkää mitä vain, jotta…" 😀
Ja samaan aikaan muualta firmasta tulee näitä "koskee kaikkia, myös AMDtä" lausuntoja. Voihan noistakin vetää herneen nenään kun tahallaan puhutaan pahaa kilpailijasta. 🙂
No onneksi intellin pr ymmärtää tämän paremmin kuin täällä.
2/3 mitre tunnisteen saaneesta haavoittuvuudesta koskee myös amd:tä, joten… Totuuden saa aina kertoa.
Kyllä, mutta tuo Inteliä ja joitain ARM:ja koskeva Meltdown on kyllä kriittisin, koska exploitti on helppo toteuttaa. Spectre taas hankala toteuttaa sekä korjata.
Kyllä Intel veti ihan puhdasta corporate tuubaa tuossa tiedotteessa ja yritti a) vähätellä Meltdownin vaikutusta "average user" maininnalla b) korostaa nimenomaan Spectreä Meltdownin sijaan.
Intel on ongelmissa, jos ja kun nuo Meltdown päivitykset aiheuttavat palvelinpuolella kovan suorituskykyvaikutuksen ja he tietävät sen itsekin. Eilinen tiedote laukaistiin selvästi lyhytaikaiseksi markkinoiden rauhoitukseksi ja se näytti toimivan. Veikkaisin, että firmassa pistettiin viimeistään eilen kriisiryhmä pystyyn, jossa on lakiosastoa, PR-ihmisiä ja insinöörejä ja nyt mietitään kuumeisesti skenaarioita, miten jatko meinataan hoitaa firman kannalta parhaimmalla tavalla.