Intel on joutunut julkisuudessa kenties suurimman ryöpytyksen kohteeksi Spectre- ja Meltdown-haavoittuvuuksien osalta. Yhtiön osaa ei ole ainakaan auttanut se, että ensimmäinen aalto yhtiön paikkauksia aiheutti paikoin heikentyneen suorituskyvyn lisäksi myös uudelleenkäynnistymisongelmia.
Intelin osavuosikatsauksen yhteydessä pidetyn konferenssipuhelun aikana yhtiön toimitusjohtaja Brian Krzanich kertoi, että nykyisten ohjelmisto- ja mikrokoodipohjaisten paikkausten lisäksi yhtiön insinöörit paiskivat parhaillaan töitä rautatason Spectre- ja Meltdown-korjausten parissa. Rautatason korjauksia voidaan pitää itsestäänselvyytenä pidemmällä tähtäimellä, mutta Krzanichin mukaan ensimmäiset korjaukset sisältävät tuotteet tullaan julkaisemaan vielä tämän vuoden puolella, eli erittäin nopealla aikataululla.
Lyhyen aikataulun perusteella on tällä hetkellä oletettavaa, että kyse on pienehköistä paikkauksista, sillä varsinaisia Spectren ja Meltdownin huomioon ottavia merkittäviä arkkitehtuurimuutoksia tuskin saataisiin markkinoille näin lyhyellä aikataululla. Toistaiseksi ei myöskään tiedetä, viittaako aikataulu esimerkiksi Core-sarjan prosessoreihin, vai joihinkin muihin. Nykytiedon mukaan Intel sai tietää Spectre- ja Meltdown-haavoittuvuuksista vasta viime kesänä, vaikka joitain samoihin heikkouksiin liittyviä ongelmia oli tiedossa jo aiemmin.
katso liitettä 71250
Näin, vaikka selain olisi haavoittuva. Tyhmä testi.
Tuossa pitäisi siis lukea että "Your system is not vulnerable through this browser". Haavoittuvuushan ei ole mikään selaimen haavoittuvuus, vaan prossun!
Asentelin tuossa muutama päivä takaperin Windowsin (8.1) uusimmat tietoturvapäivitykset (joukossa oli myös Intelin päivitys) ja kaikki selaimeni antavat tulokseksi "Not vulnerable" (IE, Firefox & Opera Neon (<- perustuu Chromiumiin))
Asentelin tuossa muutama päivä takaperin Windowsin (8.1) uusimmat tietoturvapäivitykset (joukossa oli myös Intelin päivitys) ja kaikki selaimeni antavat tulokseksi "Not vulnerable" (IE, Firefox & Opera Neon (<- perustuu Chromiumiin))
Koitin hieman ATK-harrastaa mielenrauhani vuoksi tämän kommentin innoittamana. Prosessorina Xeon E3-1230-V3 ja emolevynä ASrock H87 Pro4. BIOS-päivitystä tähän tuskin enää tulee, tai ainakaan kovinkaan nopealla aikataululla.
VMwaren mikrokoodin päivitystyökalulla onnistuu kyllä mikrokoodin päivitys (versioon 23, 20-11-2017), mutta Windows kerkeää ladata kernelinsä käynnistysvaiheessa ennen mikrokoodia, ja hylätä Spectre-/Meltdown-paikan käyttöönoton.
Koitin saada mikrokoodin latautumista aikaistettua muuttamalla parametreja StartType=0x2 -> 0x1 -> 0x0 (0x0:lla ei käynnisty enää), LoadOrderGroup=Extended Base -> Base -> SCSI Class -> WdfLoadGroup, mutta mikrokoodi ei lataudu tarpeeksi ajoissa. Get-SpeculationControlSettingsillä näkee, että laitteisto- ja ohjelmistotuki kyllä paikalle löytyy:
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
…
Koska mikrokoodi näytti olevan korjattua versiota, modasin sen suoraan ASrockin viimeisimpään viralliseen biokseen ja päivitin emolevylle. Toimenpide ei ole kovin monimutkainen, mutta sitäkin jännittävämpi. Todellinen ATK-harrastaja pääsee näillä ohjeilla liikkeelle. Ei sovellu aloittelijalle eikä edes edistyneemmälle, vaan tiedät mitä teet -tyypille.
[Guide] How to flash a modded ASUS/ASRock/Gigabyte AMI UEFI BIOS
[Tool Guide+News] "UEFI BIOS Updater" (UBU)
Lopputuloksena mielenrauhani on astetta tyynempi:
katso liitettä 71254
Koitin hieman ATK-harrastaa mielenrauhani vuoksi tämän kommentin innoittamana. Prosessorina Xeon E3-1230-V3 ja emolevynä ASrock H87 Pro4. BIOS-päivitystä tähän tuskin enää tulee, tai ainakaan kovinkaan nopealla aikataululla.
VMwaren mikrokoodin päivitystyökalulla onnistuu kyllä mikrokoodin päivitys (versioon 23, 20-11-2017), mutta Windows kerkeää ladata kernelinsä käynnistysvaiheessa ennen mikrokoodia, ja hylätä Spectre-/Meltdown-paikan käyttöönoton.
Koitin saada mikrokoodin latautumista aikaistettua muuttamalla parametreja StartType=0x2 -> 0x1 -> 0x0 (0x0:lla ei käynnisty enää), LoadOrderGroup=Extended Base -> Base -> SCSI Class -> WdfLoadGroup, mutta mikrokoodi ei lataudu tarpeeksi ajoissa. Get-SpeculationControlSettingsillä näkee, että laitteisto- ja ohjelmistotuki kyllä paikalle löytyy:
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
…
Koska mikrokoodi näytti olevan korjattua versiota, modasin sen suoraan ASrockin viimeisimpään viralliseen biokseen ja päivitin emolevylle. Toimenpide ei ole kovin monimutkainen, mutta sitäkin jännittävämpi. Todellinen ATK-harrastaja pääsee näillä ohjeilla liikkeelle. Ei sovellu aloittelijalle eikä edes edistyneemmälle, vaan tiedät mitä teet -tyypille.
[Guide] How to flash a modded ASUS/ASRock/Gigabyte AMI UEFI BIOS
[Tool Guide+News] "UEFI BIOS Updater" (UBU)
Lopputuloksena mielenrauhani on astetta tyynempi:
katso liitettä 71254
Toki, mutta jos testi on oikein selaimen kohdalla on sekin tieto ihan jees.
Kuitenkin selaimen kautta tehtäviä aukon hyödyntämisiä pitää pelätä eniten.
Toki, mutta jos testi on oikein selaimen kohdalla on sekin tieto ihan jees.
Kuitenkin selaimen kautta tehtäviä aukon hyödyntämisiä pitää pelätä eniten.
Ashampoo® Spectre Meltdown CPU Checker
Ihan prohvessionaalisen näkönen security check tool.
Ashampoo® Spectre Meltdown CPU Checker
Ihan prohvessionaalisen näkönen security check tool.
Oletko koittanut päivittää? Mulla sanoo EzFlash utility, että "not a proper BIOS file". Onkohan tuo kuitenkaan oikea file Maximus VIII Herolle (ilman ALPHAA), kun on tiedosto nimetty "MAXIMUS-VIII-HERO-ALPHA-ASUS-3703"..?
Oletko koittanut päivittää? Mulla sanoo EzFlash utility, että "not a proper BIOS file". Onkohan tuo kuitenkaan oikea file Maximus VIII Herolle (ilman ALPHAA), kun on tiedosto nimetty "MAXIMUS-VIII-HERO-ALPHA-ASUS-3703"..?
Random sivuilta löytyviä testejä on aina hieman epäilyttävää ajella. Ei siis liity tähän linkkiin vaan yleisesti tietoturva"testeihin".
Random sivuilta löytyviä testejä on aina hieman epäilyttävää ajella. Ei siis liity tähän linkkiin vaan yleisesti tietoturva"testeihin".
Ööö *sormi suussa* mitäs tämä nyt sitten meinaa? Eikö tuo microcode nyt ollutkaan toimiva? Sori, ei vaan osaamistaso riitä ymmärtämään mitä tässä nyt oikein sanottiin.
Ööö *sormi suussa* mitäs tämä nyt sitten meinaa? Eikö tuo microcode nyt ollutkaan toimiva? Sori, ei vaan osaamistaso riitä ymmärtämään mitä tässä nyt oikein sanottiin.
Eli tuo Intelin mikrokoodipäivitys ei sisältänyt päivitystä kyseiselle prosessorille.
Eli tuo Intelin mikrokoodipäivitys ei sisältänyt päivitystä kyseiselle prosessorille.
No eiköhän tässä kannata odotella vielä ihan rauhassa. Intelin tavoite oli tällä viikolla hoitaa 90% alle 5v vanhoista prossuista ja vanhempia sitä mukaa kun ehtivät ja priorisoivat. Sen verran megaluokan bugista on kyse, että ihmettelisin jos ei jossain vaiheessa sandyt ja ivyt (ja miksei vanhemmatkin) tulis mukaan korjausten piiriin.
LÄHDE: Intel's Security-First Pledge
No eiköhän tässä kannata odotella vielä ihan rauhassa. Intelin tavoite oli tällä viikolla hoitaa 90% alle 5v vanhoista prossuista ja vanhempia sitä mukaa kun ehtivät ja priorisoivat. Sen verran megaluokan bugista on kyse, että ihmettelisin jos ei jossain vaiheessa sandyt ja ivyt (ja miksei vanhemmatkin) tulis mukaan korjausten piiriin.
LÄHDE: Intel's Security-First Pledge
Tänään otin tuon työn alle ja ei onnistunut päivitys. Mitä pikaisesti googletin, niin ilmeisesti ASUS sössinyt, tuo on nimenomaan Hero Alpha:lle.
Onneksi ei suostunut päivittämään, olis voinut mennä solmuun 😮
Tänään otin tuon työn alle ja ei onnistunut päivitys. Mitä pikaisesti googletin, niin ilmeisesti ASUS sössinyt, tuo on nimenomaan Hero Alpha:lle.
Onneksi ei suostunut päivittämään, olis voinut mennä solmuun 😮
Raspberry Pi Pi 3 Premium Kit – 79,00€
Hyvin menee näköjään kaupaksi D:
Raspberry Pi Pi 3 Premium Kit – 79,00€
Hyvin menee näköjään kaupaksi D:
Oma kolmen markan kommenttini koko hiton rumbasta………
Eksyin tähän ketjuun, päivitin biosin sekä OS:n kun olivat heti saatavilla. (Asus Prime Z370-P, i3 8350k)
Suorituskyky ei alentunut juurikaan oleellisesti, samaa ei voi vakaudesta.
Aivan käsittämätöntä kaatuilua softista ja työpöydältäkin, buuttilooppeja jne jne……aivan käyttökelvoton siinä tilassa koko kone.
Eipä auttanut kuin päivittää bios vanhempaan, ja nyt tällä pystyy jo jotain tekemäänkin.
Summa summarum……seuraavaksi kun romut vaihdan niin se on leirin vaihto, sen verran nosti verenpainetta useaan otteeseen.
Oma kolmen markan kommenttini koko hiton rumbasta………
Eksyin tähän ketjuun, päivitin biosin sekä OS:n kun olivat heti saatavilla. (Asus Prime Z370-P, i3 8350k)
Suorituskyky ei alentunut juurikaan oleellisesti, samaa ei voi vakaudesta.
Aivan käsittämätöntä kaatuilua softista ja työpöydältäkin, buuttilooppeja jne jne……aivan käyttökelvoton siinä tilassa koko kone.
Eipä auttanut kuin päivittää bios vanhempaan, ja nyt tällä pystyy jo jotain tekemäänkin.
Summa summarum……seuraavaksi kun romut vaihdan niin se on leirin vaihto, sen verran nosti verenpainetta useaan otteeseen.
Kyselin Acerin supportilta, että miksihän heidän haavoittuvuus-sivulla ei ole vieläkään omaa konemallia jossa i5-4200U prosessori. Vastasivat:
Intelin tuolla sivustostolla on kuitenkin listattuna "4th generation Intel® Core™ processors" ja minun "Core i5-4200U" prosessori löytyy Intelin omalta "4th Generation Intel® Core™ i5 Processors" sivulta.
Ihan käsittämätöntä soopaa taas Acerilta, sekä supportilta, että miten väärää tietoa antavat haavoittuvat koneet sivullaan.
Veikkaanpa, että jos tarkistaisin ne listatut konemallit tuolta Acerin sivuilta, niin ne kaikki olisivat vain esim. 2-3 vuotta vanhoja, eli luulenpa, että yrittävät päästä mahdollisimman vähällä tästä tapauksesta ja tukea vain ihan uudempia konemalleja, ja samalla antavat muille aivan väärää haavoittuvuustietoa koneista. /mutu
Kyselin Acerin supportilta, että miksihän heidän haavoittuvuus-sivulla ei ole vieläkään omaa konemallia jossa i5-4200U prosessori. Vastasivat:
Intelin tuolla sivustostolla on kuitenkin listattuna "4th generation Intel® Core™ processors" ja minun "Core i5-4200U" prosessori löytyy Intelin omalta "4th Generation Intel® Core™ i5 Processors" sivulta.
Ihan käsittämätöntä soopaa taas Acerilta, sekä supportilta, että miten väärää tietoa antavat haavoittuvat koneet sivullaan.
Veikkaanpa, että jos tarkistaisin ne listatut konemallit tuolta Acerin sivuilta, niin ne kaikki olisivat vain esim. 2-3 vuotta vanhoja, eli luulenpa, että yrittävät päästä mahdollisimman vähällä tästä tapauksesta ja tukea vain ihan uudempia konemalleja, ja samalla antavat muille aivan väärää haavoittuvuustietoa koneista. /mutu
Itse ajoin tuon Dellin updaten josta laitoin aiemmin juttua, mutta lakkasi sitten TB telakka toimimasta ja jouduin kanssa palaamaan aiempaan BIOS versioon. Ei varmaan suoraan johdannaista tästä mikrokoodipäivityksestä vaan jostain muusta BIOS ongelmasta, mutta noh se tuli tuon pätsin mukana kuitenkin.
Itse ajoin tuon Dellin updaten josta laitoin aiemmin juttua, mutta lakkasi sitten TB telakka toimimasta ja jouduin kanssa palaamaan aiempaan BIOS versioon. Ei varmaan suoraan johdannaista tästä mikrokoodipäivityksestä vaan jostain muusta BIOS ongelmasta, mutta noh se tuli tuon pätsin mukana kuitenkin.
Hohhoijaa, kokeilin nyt itsekin sitä Microsoftin Powershell-hommaa josta näkisi haavoittuvuuksien tilanteen. Ensiksi piti asennella "Windows Management Framework 5.0" koneelle ja bootata, sitten powershellistä "Install-Module SpeculationControl" komento jonka jälkeen tuli "NuGet provider is required to continue" ja sen lataus ilmeisesti onnistui mutta sen jälkeen tuli virhe:
PS C:Windowssystem32> Install-Module SpeculationControl PackageManagementInstall-Package : No match was found for the specified search criteria and module name 'SpeculationCo ntrol'. At C:Program FilesWindowsPowerShellModulesPowerShellGet1.0.0.1PSModule.psm1:1375 char:21 + ... $null = PackageManagementInstall-Package @PSBoundParameters + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (Microsoft.Power....InstallPackage:InstallPackage) [Install-Package], Ex ception + FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.InstallPackageJa sama virhe toistuu kun ajaa "Install-Module SpeculationControl" komentoa uudestaan. Vaikeata pitää näköjään kaikki olla. Kellään mitään hajua mistä kysymys?
Hohhoijaa, kokeilin nyt itsekin sitä Microsoftin Powershell-hommaa josta näkisi haavoittuvuuksien tilanteen. Ensiksi piti asennella "Windows Management Framework 5.0" koneelle ja bootata, sitten powershellistä "Install-Module SpeculationControl" komento jonka jälkeen tuli "NuGet provider is required to continue" ja sen lataus ilmeisesti onnistui mutta sen jälkeen tuli virhe:
PS C:Windowssystem32> Install-Module SpeculationControl PackageManagementInstall-Package : No match was found for the specified search criteria and module name 'SpeculationCo ntrol'. At C:Program FilesWindowsPowerShellModulesPowerShellGet1.0.0.1PSModule.psm1:1375 char:21 + ... $null = PackageManagementInstall-Package @PSBoundParameters + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (Microsoft.Power....InstallPackage:InstallPackage) [Install-Package], Ex ception + FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.InstallPackageJa sama virhe toistuu kun ajaa "Install-Module SpeculationControl" komentoa uudestaan. Vaikeata pitää näköjään kaikki olla. Kellään mitään hajua mistä kysymys?
Mulla ei ole hajua mistä on kysymys, kun PowerShell ei ole tuttu. Mutta itse sain ajettua tuon niillä "PowerShell Verification using a download from Technet" ohjeilla, jotka on heti "PowerShell Verification using the PowerShell Gallery" ohjeiden alapuolella.
Mulla ei ole hajua mistä on kysymys, kun PowerShell ei ole tuttu. Mutta itse sain ajettua tuon niillä "PowerShell Verification using a download from Technet" ohjeilla, jotka on heti "PowerShell Verification using the PowerShell Gallery" ohjeiden alapuolella.
Kokeileppa päivittää uusin ps, 5.1.
Installing Windows PowerShell
Kokeileppa päivittää uusin ps, 5.1.
Installing Windows PowerShell
Sain nuumion vinkillä toimimaan jo. Mutta kiitos vinkistä, jostain syystä en eksynyt uusimman version downloadiin. Tosin tuolla Microsoftin powershell-tsekkaussivulla sanotaan sille ensimmäiselle tavalle "PowerShell Verification using the PowerShell Gallery (Windows Server 2016 or WMF 5.0/5.1)", eli pitäisi kylläkin kait toimia WMF 5.0:llakin.
Sain nuumion vinkillä toimimaan jo. Mutta kiitos vinkistä, jostain syystä en eksynyt uusimman version downloadiin. Tosin tuolla Microsoftin powershell-tsekkaussivulla sanotaan sille ensimmäiselle tavalle "PowerShell Verification using the PowerShell Gallery (Windows Server 2016 or WMF 5.0/5.1)", eli pitäisi kylläkin kait toimia WMF 5.0:llakin.
Päivitin linuxille julkaistuista uusista microcodeista, microcodin biosista g3258 prossulle, lautana joku asuksen h81. Powershell herjaa silti ettei hardware puolella ole suojausta,. Sanoisin että odotellaan vaan. Kuinkakohan pahana on kännykän turvallisuus puoli..
Päivitin linuxille julkaistuista uusista microcodeista, microcodin biosista g3258 prossulle, lautana joku asuksen h81. Powershell herjaa silti ettei hardware puolella ole suojausta,. Sanoisin että odotellaan vaan. Kuinkakohan pahana on kännykän turvallisuus puoli..
Onko kukaan onnistunut löytämään tietoa siitä että tälle haavoittuvuudelle olisi joskus (soon) tulossa fixi joka ei hidasta prossua lainkaan vai onko tyytyminen nyt tähän että "Ostit kalliin kiven joka ei todellisuudessa vastaakaan lukemiasi testiraportteja vaan toimii X-nopeudella"?
Onko kukaan onnistunut löytämään tietoa siitä että tälle haavoittuvuudelle olisi joskus (soon) tulossa fixi joka ei hidasta prossua lainkaan vai onko tyytyminen nyt tähän että "Ostit kalliin kiven joka ei todellisuudessa vastaakaan lukemiasi testiraportteja vaan toimii X-nopeudella"?
Meinaakohan Intel ja emolevyvalmistajat nyt tosiaan jättää tuon Spectre paikkauksen vain käyttäjien omalle vastuulle? Jos tuota korjausta ei nimittäin esim. Windows puolella tulla syöttämään Windows updaten kautta, niin kuinkahan suuri osa niistä 5 vuotta vanhaa tai uudempaakaan rautaa käyttävistä koneista tullaan koskaan paikkaamaan? Itse veikkaisin, että selvä vähemmistö.
Meinaakohan Intel ja emolevyvalmistajat nyt tosiaan jättää tuon Spectre paikkauksen vain käyttäjien omalle vastuulle? Jos tuota korjausta ei nimittäin esim. Windows puolella tulla syöttämään Windows updaten kautta, niin kuinkahan suuri osa niistä 5 vuotta vanhaa tai uudempaakaan rautaa käyttävistä koneista tullaan koskaan paikkaamaan? Itse veikkaisin, että selvä vähemmistö.
Googlen tekemä Retpoline väitetään olevan sellainen ratkaisu.
Variant 2 kun on se, jonka väitetään olevan vaikein pätsätä ilman performance hittiä.
Mulla ei ole mitään tietoa tuleeko tuo ja koska, ja mitä kautta….
Google claims its Spectre patch results in 'no degradation' to system performance | TheINQUIRER
Google on tuon jo omille palvelimilleen laittanut.
Googlen tekemä Retpoline väitetään olevan sellainen ratkaisu.
Variant 2 kun on se, jonka väitetään olevan vaikein pätsätä ilman performance hittiä.
Mulla ei ole mitään tietoa tuleeko tuo ja koska, ja mitä kautta….
Google claims its Spectre patch results in 'no degradation' to system performance | TheINQUIRER
Google on tuon jo omille palvelimilleen laittanut.
Kivi vastaa testiraportteja. Ohjelmat hidastavat itseään.
Patchit ovat kokonaisuutena kasa korjauksia satoihin ellei tuhansiin ohjelmiin. Ei tuota voi korjata mitenkään yhdellä jeesuskorjauksella.
Kivi vastaa testiraportteja. Ohjelmat hidastavat itseään.
Patchit ovat kokonaisuutena kasa korjauksia satoihin ellei tuhansiin ohjelmiin. Ei tuota voi korjata mitenkään yhdellä jeesuskorjauksella.
Windows Users Targeted by Fake Meltdown and Spectre Update :/
Eiköhän päivitykset tule joko Windowsin kautta tai sitten BIOS päivitys valmistajalta…
Windows Users Targeted by Fake Meltdown and Spectre Update :/
Eiköhän päivitykset tule joko Windowsin kautta tai sitten BIOS päivitys valmistajalta…
Erään tietokantapalvelimen loadit ennen ja jälkeen korjauksen. Käyttäjiltä saadun palautteen perusteella, kohonneet arvot eivät kuitenkaan tuntuisi vaikuttavat päivittäiseen käyttöön.