Intel on joutunut julkisuudessa kenties suurimman ryöpytyksen kohteeksi Spectre- ja Meltdown-haavoittuvuuksien osalta. Yhtiön osaa ei ole ainakaan auttanut se, että ensimmäinen aalto yhtiön paikkauksia aiheutti paikoin heikentyneen suorituskyvyn lisäksi myös uudelleenkäynnistymisongelmia.
Intelin osavuosikatsauksen yhteydessä pidetyn konferenssipuhelun aikana yhtiön toimitusjohtaja Brian Krzanich kertoi, että nykyisten ohjelmisto- ja mikrokoodipohjaisten paikkausten lisäksi yhtiön insinöörit paiskivat parhaillaan töitä rautatason Spectre- ja Meltdown-korjausten parissa. Rautatason korjauksia voidaan pitää itsestäänselvyytenä pidemmällä tähtäimellä, mutta Krzanichin mukaan ensimmäiset korjaukset sisältävät tuotteet tullaan julkaisemaan vielä tämän vuoden puolella, eli erittäin nopealla aikataululla.
Lyhyen aikataulun perusteella on tällä hetkellä oletettavaa, että kyse on pienehköistä paikkauksista, sillä varsinaisia Spectren ja Meltdownin huomioon ottavia merkittäviä arkkitehtuurimuutoksia tuskin saataisiin markkinoille näin lyhyellä aikataululla. Toistaiseksi ei myöskään tiedetä, viittaako aikataulu esimerkiksi Core-sarjan prosessoreihin, vai joihinkin muihin. Nykytiedon mukaan Intel sai tietää Spectre- ja Meltdown-haavoittuvuuksista vasta viime kesänä, vaikka joitain samoihin heikkouksiin liittyviä ongelmia oli tiedossa jo aiemmin.
Kyllähän tarvittavat päivitykset täytyy asentaa. Tietysti aikanaan kärsin, kun oli tuo päivityspalvelu päällä ja päivityksen sijaan tulikin loveson.
Mutta tuo microkoodi päivitys tulee hidastamaan konetta aika reippaasti ja riski on aika olematon normaalille nettisurffaajalle. Meltdown on asia erikseen ja siltä pitää suojautua.
katso liitettä 69310 katso liitettä 69311
Tein omilla romuilla testit ennen ja jälkeen prossukoodin, 1 siis ennen.
Intel® NUC Kit NUC5i5RYH
https://downloadmirror.intel.com/27426/eng/RY_0368_ReleaseNotes.pdf
Intel® Product Security Center
PS C:WINDOWSsystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
Eli tuossa tapauksessa (OS update + microcode asennettu) 2/3 varianteista täysin suojattuja?
Eikö se näin mene. Kolmannen kohdalla voi vain hyväksikäyttöä vaikeuttaa. Tosin olikos se nyt myös se huomattavasti vaikein käyttää?
Jos tarkoitat tuota mun viestiä niin OS päivitetty ja asennettu uusin bios (368)
Osassa 4KiB testejä näköjään tullut hurjasti takkiin.
No juu mut kokonaisvaikutus kun katsoo cinebenchin tuloksia aika mitätön loppupeleissä.
Niin siis selvennykseksi, oliko tuossa se bioskoodi mukana, vai pelkkä windows päivitys?
Bioskoodi mukana ja itse asiassa tarkastan vasta nyt OS päivitykset.
edit: OS patch mukana myös
Viittitkö sitten ajaa muitakin benchmarkkeja. Bioskoodinhan pitäisi vaikuttaa aika negatiivisesti branch predictoriin. Cinebench (multithread) ei välttämättä ole paras mittari tälle.
Muistakaa samalla katsoa prosessorin käyttöastetta kun testaatte
Kerro mitä testejä, en minä näistä mitään tajua kunhan seurailen thriidiä vaan 😀
Onko sulla mistään testistä esim, firestrike/pcmark yms referenssiä heittää ilman päivityksiä? Jos ei ole niin testit ei itsessään paljon kerro ilman vertailupohjaa.
3770K ja Z77 Asrock Extreme 4:
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
No sitten vain odotellaan että BIOS-päivitystä tulisi joskus… :S
No vain nuo tein ennen updateja, ainahan noi pois saa ei siinä jos lisää innostun testaamaan 🙂
Saisipa nuo fiksit asentaa vapaaehtoisesti. Minua ei oikein nappaa että kysymättä puukotetaan suorituskykyä.
Aja tuosta Cinebenchistä single thread benchmark vaikka verrokiksi, niin joku jolla on vastaava prossu voisi ajaa ilman bios päivitystä. Saat sen single thread benchmarkin näkyviin ku täppäät siitä file kohdasta päälle sen advanced benchmarkin. Luulisin tuon brach predictionin patchayksen vaikuttavan negatiivisesti nimenomaan yhden säikeen suorituskykyyn.
Laitoin asuksen 1003 BIOSin. Tältä näyttää nyt.
Meinaan.
Ja juu, näen tuosta Powershellin tekstistä että näin teit.
Pointtina vaan, selvennyksenä, että eikös tuossa keississä ole sitten Spectre/Meltdown varianteista 2/3 blokattu. Kuten myös japau:lla yllä tätä viestiä ennen.
Kolmatta kun ei voi täysin estää.
Pelkällä OS päivityksellä voi estää vain 1/3. BIOS (tai siis microcode) sitten estää tokan.
Security hole in AMD CPUs' hidden secure processor revealed ahead of patches
Onko tää joku uus reikä vai näiden variantti?
Erillinen se on.
Liittyy johonkin AMD vastineeseen Intelin Management Enginestä.
AMD PSP Affected By Remote Code Execution Vulnerability – Phoronix
Tuolla myös ketju aiheesta. Eiköhän joku ole 7 sivun aikana kerännyt tl;dr linkkejä/tekstejä.
AMD PSP Affected By Remote Code Execution Vulnerability – Phoronix Forums
Fujitsu ah532/g21 (HM76) sama speculation control settings tulos ja piirin ikä taitaa sotia vastaan BIOS päivitykselle.
Paska korjaus asentui ja rikkoi Ai Suiten.. Tuo paska ei edes kysynyt että saako päivittää vaan forcena kakkoseen. prkl!
Ei tässä muuten mutta Ryzenin kanssa kun tuolla patchilla ei juuri mitään tee. Rikkoo vain asioita. 🙁
Edit:
Ryzenilla:
PS C:WINDOWSsystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : False
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Näenkö jostain helposti onko nämä aukot paikattu omasta koneessa?
Hieman oma-aloitteisuutta, yksi sivu taaempana:
Njoo itsellä kanssa AI Suite sanoi sopimuksen irti kun tämä päivitys tuli. Z97I-PLUS lankulla.
En tiedä, mutta spekuloin, että ai suite on ohjelma, joka on tehnyt ”laittomia” kernel-kikkailuja. Sama mikä vaivasi antiviruksia. Hyvä että tallaiset softat paljastuu.
Toki voisi ihmetellä että miksi niitä on voinut tehdä tähän asti.
Räbässä kanssa puhuivat että parilla mennyt AI Suite rikki, eli et ole ainoa.
Miksiköhän minulla tulee tämmöinen valitus tuossa powershell tarkastuksessa:
Import-Module : File C:Program FilesWindowsPowerShellModulesSpeculationControl1.0.2SpeculationControl.psm1 cannot be loaded because running scripts is disabled on this system. For more information, see about_Execution_Policies at ht tps:/go.microsoft.com/fwlink/?LinkID=135170. At line:1 char:1 + Import-Module SpeculationControl + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : SecurityError: (:) [Import-Module], PSSecurityException + FullyQualifiedErrorId : UnauthorizedAccess,Microsoft.PowerShell.Commands.ImportModuleCommandEDIT: Ja kannattaisiko firefoxiin asentaa noscrip?
Sama.
Korjaus:
AI Suite 3 Beta Version 3.00.10 – user test/report thread
Ainakin itsellä tuon korjauksen kanssa lähti taas normaalisti pelittämään. On kyllä silti hieno force päivitys, josta osalle on vain ja ainoastaan haittaa.
because running scripts is disabled on this system
Ajoit adminina?
Katohan. Ite en tosiaan AI Suitea käytä niin mennyt ohi. :tup:
Katohan. Ite en tosiaan AI Suitea käytä niin mennyt ohi. :tup:
-edit No sieltäpä tuop jo tulikin
-edit No sieltäpä tuop jo tulikin
Kyllä, tuolla on lisäksi powershell ISE, mikä tämä on?
Kyllä, tuolla on lisäksi powershell ISE, mikä tämä on?
Anna komento
Jälkeenpäin, jos haluat taas estää skriptien ajon:
Anna komento
Jälkeenpäin, jos haluat taas estää skriptien ajon:
Linkissähän on ratkaisu ongelmaan kerrottu 🙂
ensin tarkastaa tilanne:
PS C:WINDOWSsystem32> Get-ExecutionPolicy
Restricted
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine Undefined
Ja korjaus
PS C:WINDOWSsystem32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All Suspend [?] Help (default is "N"): A
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned
Linkissähän on ratkaisu ongelmaan kerrottu 🙂
ensin tarkastaa tilanne:
PS C:WINDOWSsystem32> Get-ExecutionPolicy
Restricted
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine Undefined
Ja korjaus
PS C:WINDOWSsystem32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All Suspend [?] Help (default is "N"): A
PS C:WINDOWSsystem32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
—– —————
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned
Ei missään hiton nimessä Unrestricted!
Ei missään hiton nimessä Unrestricted!
set-executionpolicy remotesigned
Edit. Jaahas tulikin useampi vastaus 🙂
set-executionpolicy remotesigned
Edit. Jaahas tulikin useampi vastaus 🙂
Set-ExecutionPolicy Unrestricted
Set-ExecutionPolicy Unrestricted
EI ei ja EI