Kuumina puheenaiheina alkuvuoden viettäneet Meltdown- ja Spectre-haavoittuvuudet ovat edelleen kaksi kuukautta myöhemmin ajankohtainen aihe. Rajuiten yleisön hampaisiin haavoittuvuuksista on joutunut Intel.
Intel julkaisi ensimmäiset haavoittuvuuksiin pureutuvat mikrokoodipäivitykset prosessoreilleen verrattain nopeasti Spectren ja Meltdownin tultua julki heti vuodenvaihteen jälkeen. Mikrokoodipäivitykset osoittautuivat kuitenkin ongelmallisiksi, sillä ne aiheuttivat kokoonpanojen odottamattomia uudelleenkäynnistymisiä.
Reilu viikko sitten Intel sai lopulta julkaistua uudet versiot mikrokoodipäivityksistä Skylake(-X)-, Kaby Lake(-X)- ja Coffee Lake -prosessoreille. Ainakin tämän hetkisten tietojen mukaan uudet mikrokoodit ovat myös vapaat ensimmäisten versioiden ongelmista eikä niiden kanssa ole ilmaantunut uusiakaan ongelmia.
Päivittyneestä Microcode Revision Guidance -dokumentista käy ilmi, että Intel on nyt saanut valmiiksi seuraavan erän mikrokoodipäivityksiä. Tällä kertaa omat mikrokoodipäivityksensä saavat Haswell- ja Broadwell-arkkitehtuureihin perustuvat prosessorit. Vanhempien arkkitehtuureiden mikrokoodipäivitykset ovat vielä beetavaiheessa Sandy Bridgeen asti ja sitä vanhempien kohdalla puhutaan joko alfaversioista tai vasta suunnitteluvaiheesta. Myös päivityksen jo saaneiden arkkitehtuureiden kohdalta löytyy yksittäisiä Xeon-prosessorisarjoja, joissa valmista mikrokoodiversiota ei ole saatu vielä tuotantovaiheeseen.
Kuluttajille mikrokoodipäivitykset tuodaan OEM-valmistajien toimesta tyypillisesti BIOS-päivityksinä.
Lähde: Intel (PDF)
Jes! Vanha sandy bridgekin saattaa saada vielä päivityksensä, pysyy 2600k kuvioissa kovaa vauhtia :comp:
On sitä tässä ehditty oman 4590:n kanssa ihmetellä kun satunnaisesti heittää siniruutua tai kippaa muuten vaan.
Mielenkiintoista, että viime vuosikymmenenkin raudalle on korjauksia edes suunnitteluvaiheessa. En todellakaan odottanut, että omalle i5-750:lleni olisi mitään korjauksia edes suunnitelmissa.
Suunnitteluvaiheessa saatetaan todeta myös että ei maksa vaivaa. Intel on luvannut että 5v vanhoille tulee ja kaikki muu on plussaa
Oli tuolla kuitenkin jotain Bloomfield Xeonia vuodelta 2009 pre-beta-vaiheessa.
Sellainen huomio, että tässä lienee kyse pelkästä spectrestä, ei meltdownista. Sama pätee aiempaan well-sarjan päivitykseen.
Meltdowniin tämän ei pitäisi auttaa yhtään.
Olen vähän kallistumassa sille kannalle, että jätän Spectre-biosin toistaiseksi asentamatta. Uudemmissakin koneissa (Skylakesta eteenpäin) päivityksen vaikutus koneen suorituskykyyn on 5-10% , ja vanhemmissa koneissa huomattavasti isompi.
Jos jossakin vaiheessa tulee tietoon, että Spectre-pohjaiset tietomurrot ovat yleistymässä ja muodostavat teoreettisen uhan sijasta ihan todellisen ongelman, niin sitten luultavasti myyn nykyiset Intel-kamani pois, ja vaihdan AMD-leiriin.
Sitten kun se tulee tietoon, on jo liian myöhäistä.
Kuten intellin infosivuilla kerrotaan pääjakelukanava on OEM:ien kautta. Eipä mitään varmaa ole että saat emolevyysi päivityksen, vaikka intel mikrokoodin tekisi.
Tai sitten intellin pitäisi hoitaa jakelu toista reittiä.
Tuo juuri. Emolevyn valmistajat eivät ole esim omaan emooni tehneet mitään päivityksiä viimeiseen neljään vuoteen…
Enpäs nyt ulkoa muista prosentteja, mutta eikös se nyt ollut niin että serverikäytössä suorituskyky otti kyllä osumaa, mutta kotikäytössä perus työskentelyssä/pelailussa ero oli niin pieni ettei sitä mistään huomaa. On tosin minullakin tässä intelin touhuja seuratessa alkanut tulevat ryzenit kiinnostamaan vähän toisella lailla kuin aikaisemmin.
Käsittääkseni tuo korjaus vaikuttaa nimenomaan I/O-operaatioihin, jolloin suorituskykyvaikutus kohdistuu tilanteisiin missä on paljon kutsuja. Vastaavasti pelatessa tuo ei vaikuta hirveästi, koska pelaamisen aikana näitä operaatioita ei juurikaan tehdä. Laiskana punahattusena kaverina en nyt jaksa kaivaa referenssejä tähän, mutta virtualisointipuolella tuo vaikutus käsittääkseni on ~10-25%, riippuen kuormituksista.
On aika epätodennäköistä, että juuri minä olisin ensimmäisten hyökkäyksen kohteeksi joutuneiden joukossa. Huonommin suojautuneita, ja muutenkin arvokkaampia hyökkäyskohteita löytyy maailmalta miljoonittain.
Pelailussa pullonkaula on yleensä GPU-puolella, eikä Spectre-pätsi juurikaan vaikuta, se on totta. Mutta ihan peruskäytössäkin varsinkin I/O-puolen hidastuminen on kyllä havaittavissa. Ja sekin kannattaa muistaa, että Spectren vaikutus tulee vielä Meltdown-pätsien päälle.
Tuolla muuten ihan uusia Spectre-suorituskykytestejä:
Recent PCs have little to fear from Intel's Spectre microcode updates
Single-thread -javascript-suorituskyky on tippunut Skylakella 6,7-9,3%, ja sovellusten käynnistymisajat PCMark10-testissä 13,5%.
Vaikka Intel tuo päivityksen ei se ole tae että emolevyvalmistajat tuo.
Vrt Google päivittää niin ei tule silti puhelimiin.
Onkos jossain jo testattu näitten uusimpien mikrokoodipäivitysten vaikutuksia suorituskykyyn?
Onkos jossain jo testattu näitten uusimpien mikrokoodipäivitysten vaikutuksia suorituskykyyn?
Olen Anteron sama mieltä mutta ne kun ovat ostaneet merkkikoneen vuosia sitten voi jo sammalla unohtaa toiveet ja myös kannettavien saralle tilnne on vielä huonompi kun usein tuki loppuu jo ennen takuajaan umpeutumista sen verran surkeita ovat valmistajat.
Kuitenkin luulen että yleiset emolevyvalmistajat tuovat bios päivityksen kuten Asus,Gigabyte,Msi ja Asrock kun yksi valmistaj tuo on pakko muiden seurata perässä ellei halua romahduttaa emolevy myynnin tahallisesti kun monelle valmistajalle se on se tärkein toimeentulo lähde.
Mac koneiden tarina voi myös olla kiinnostava.
Kuitenkin tämän kuun aikana varman alkaa ilmestymään ensimmäiset bios päivitykset kunhan saavat omat testaukset valmiiksi.
Minun näkemyksen mukaan se on häviävän pieni osa ihmisistä joita tämä asia kiinnostaa. Asus tai msi ei ota pienintäkään lommoa, jos jättää julkaisematta päivitykset.
Seuraan asiaa joka päivä, mutta silti minulle on ihan sama tuleeko intellinpäivitykset vai ei. Ei pelota nämä haavoittuvuudet yhtään enempää kuin mikään aikaisempi tai tuleva. Tätä pystyy hanskamaan samoilla keinoilla kuin miljoonia muitakin haitakkeita ilman mitään biospäivityksiä.
Onneksi käyttisvalmistajat omaavat hieman vastuullisemman asenteen ja tulevat jakamaan nämä mikrokoodit windows päivitysten mukana ja ne kyllä asentuvat huolettomillekin käyttäjille jos nyt ei koko tietoturvapäivityksiä ole blokannut.
MS saanut aika paljon jo ulos.
Isoin merkitys tällä on Intelille, että voi osoittaa oikeussaleissa, että hoiti oman leiviskänsä tietoturva-aukon paikkaamisessa. Ei sitä kiinnosta mitä jotkut OEM valmistajat tekevät. Ja OEM valmistajien ei kiinnosta, jollei niitäkin aleta raahaamaan raastupaan. Ja ehkä silloinkin ne yrittävät kierättää vastuun jollekin muulle taholle. Esim tyyliin bios oli ajan tasalla myyntihetkellä, joten sen suhteen ei ole mitään syytä heidän taholtaan enää käyttää panoksia, kun kuluttaja voi ihan yhtä hyvin ostaa uuden ja toetotirvallisen emon wanhan tilalle..
Intel’s latest set of Spectre microcode fixes is coming to a Windows update
Eikös tämä meinaa, että kun Intel saa mikrokoodin ulos MS jakelee ne? Lisäksi tuossa uutisessa on mainittu, että nyt Windowsissa pitää käyttää ajan tasalla olevaa virusturva, joka pistää sen rekisterifixin tai sitten ajaa sen käsin itse. W7 kun ei ole mitään vakiona, niin ukdemmau kuin joulukuu 2017 eivät sinne tipu.
Sinänsä positiivinen uutinen kyllä. Joskin tuossa puhuttiin tällä hetkellä käsin itse noudettavista updateista. Windows updaten kautta ei tule ainakaan tällä hetkellä.
Winkan mukana tuleva mikrokoodi paikkaa osan ongelmista. Loput pitäisi kaiten hoitaa emolevyn biosin puukotuksella?
Kuten @Tege sanoi, Windows seiskaan pitää lisätä rekisteriavain jos ei käytä mitään Anti-Virusta. Typerää MS:ltä, ja ehkä jossain vaiheessa alkaa päivitykset taas kulkemaan kun uskovat että riittävän moni on AV:nsa päivittänyt ensin.
Ohjeet löytyy vaikka tästä artikkelista:
Microsoft January 2018 Security Updates and Trend Micro solutions
Kuinkas monta Spectre ja Meltdown haavoittuvuuksia käyttäviä viruksia/troijia/ym onkaan nyt liikkeellä? Ja missä on uutiset siitä että nämä pystyisivät ohittamaan virustutkat?
Sillä välin esim. omalle koneelle koitetaan ulkoapäin hyökätä käyttämällä 445 porttia n. 3000kertaa päivässä (wannacry/ym koputtelee siellä) ja kukaan ei näistä enää puhu…
Mikrokoodi muokkaus ja käyttismuokkaus korjaa nuo ongelmat. BIOS päivitys tarvitaan vain ja ainoastaan, jos se käyttis ei syöta sitä mikrokoodia sille prossulle.
Eli jos tuo tulee siis käyttiksen mukana, niin biokseen ei tarvitse koskea.
Tarkastin rekisteriarvon ja oli kunnossa. F-Secure koneella. Sen jälkeen päivitin tuon uuden updaten käsin koneelle. Kaikki toimii kuten ne kyllä toimi tähänkin asti bios ja winukka päivityksien jälkeenkin jotka aiemmin julkaistiin.
Toki tämä vain oma kokemukseni omalta koneelta.
Töissä en ole asiakkaille näitä updateja asennellut asiakkaiden ympäristöihin, enkä asentele ennekuin todettu absoluuttisen stabiileiksi.
8700K lla varustettu on inspectren mukaan päivittynyt. Mutta läppärin 2760QM ei vielä. Koska Lenovo niin tokkopa tuleekaan. Vaikka listaakin tuon koneen päivityslistauksessaan.
2760QM on Sandy Bridge, se on vasta beetavaiheessa Intelillä ja vasta viimeisenä "listalla" ts uudemmat ensin
Mikrokoodin voi asentaa myös itse käsin jos ei tule BIOS-päivitystä, eikä käyttiskään sitä päivitä. Win 7 ei ollut päivittänyt mikrokoodia, joten asensin päivityksen itse käsin.
Yllä olleiden uutisten mukaan automaattisesti ei ole pitänytkään päivittyä minkään.
Totta, mutta linkitetyllä sivulla ei ole ladattavissa kuin Windows 10 paketti.
Haluatko avata päivitysmenetelmää enemmän? En ole itse tietoinen että mikrokoodin pystyisi pysyvästi päivittämään jotenkin muuten.
Vmware ajurilla lataaminen jokaisessa bootissa on kerrottu kyllä tässäkin ketjussa, mutta se ei kiinnosta.
VMwarea tarkoitin – ei taidettu tässä ketjussa mainita, muuten en olisi kirjoittanut mitään. Itse laitoin tuon VMWare-ajurin, koska tosiaan Win 7:lle ei ole pakettia saatavilla ainakaan vielä.
Aa joo totta, ei tässä ketjussa. Pahoittelut, minun virhe. Uutisketjut ei ole enää linkissä keskenään.
Saakohan näillä ohjeilla nuo meltdown ja spectre päivitykset pois päältä?
https://support.microsoft.com/en-gb…-to-protect-against-the-speculative-execution
Lisäksi se mikrokoodipäivitys pitäisi estää.. Onko sen tiedot jossain tietyssä tiedostossa, jonka voi yksinkertaisesti poistaa (Win 7 /win 10)?
Ok, eli täytyy vain tietysti uusia kun käyttis päivittyy? Tsai ainakin uudelleen asennuksessa. Ilmeisesti vähän hitaampi kuin BIOS päivitetty versio, jos se tulkkaa välissä, vai uudelleenkirjoittaako tuo biosin toiminnan käynnissäolon ajaksi?
Jossain ikuvanhassa postauksessa joku taisi puhua asiasta, muttei wanha enää muista…
Se prossun sisäinen logiikka vain ohjelmoidaan uudestaan. Sinänsä lopputulos on täysin sama, tekeekö sen BIOS, bootloaderi vai joku muu. Varmasti se jonkinlaisen paussin ja odotustilan /nollauksen aiheuttaa prossulle, mutta kuin se on kerran tehty, niin lopputulos on täysin sama:
Prossu on kunnossa, seuraavaan virtasykliin (/HW RESETTIIN??) asti, jolloin sen logiikka nollautuu täysin..Tuo on käsittääkseni siis eräänlaista RAM muistia, joka nollautuu.. Eli prossun toimintaa muutetaan toistaiseksi tuolla mikrokoodipatsillä.
Jos en ihan ole pudonnut kärryiltä niin alkuperäinen mikrokoodi on pysyvässä MROM-muistissa prosessoreissa ja mikrokoodipäivitys ladataan joka käynnistyksellä paikasta x rekistereihin, jotka kertovat mikä muuttui ja miten muuttui.
Jos mikrokoodipäivitys olisi rommissa prossussa, niin silloinhan prossun voisi "päivittää" ja se olisi siinä, mitään BIOS muutoksia ei tarvittaisi.
Mrom on nimensä mukaisesti read only memoryä. Ei sinne päivitellä yhtään mitään.
Mikrokoodi ladataan prosessoriin jokaisella käynnistyksellä, niin Intelillä kuin AMD:llakin. Yleensä mikrokoodin lataa bios, mutta myös käyttöjärjestelmän ydin tai mikä tahansa muu ohjelma joka osaa mikrokoodin asianmukaisiin rekistereihin kirjoittaa voi sen tehdä.
Mikrokoodit on melko vahvasti salattu ja prosessori ei lataa rikkinäisellä allekirjoituksella varustettua muokattua mikrokoodia.
Mitä näihin Intelin viimeisimpiin korjattuihin mikrokoodeihin tulee, niin testasin nuo hiljattain muun testauksen ohella.
Näiden aukkojen paikkauksella vaikuttaisi olevan aika rankka vaikutus esim. GCC:n suorituskykyyn. Tuoreimmalla Win 10 16299.248 versiolla GCC:n 7.2 suorituskyky näyttää pudonneen alle puoleen, ainakin Mingw toolchainilla.
Aiempien testien mukaan Coffee Lake on ollut n. 21% Ryzenia nopeampi GCC:ssä samalla kellotaajuudella, mutta nyt Ryzen on ~84% edellä. Testasin saman myös Skylake-X:llä käyttäen samaa käyttisversiota ja viimeisintä mikrokoodia ja siinäkin erot oli samaa luokkaa.
Microsoftin mikrokoodipäivitykseen tullut prosessoreita lisää (kaby lake ja coffee lake):
https://support.microsoft.com/en-us/help/4090007/intel-microcode-updates
Kas, Perskivi oli julkaissut Z97-lankulleni oikein BIOS-päivityksen mikrokoodipäivityksellä 😉
Nyt on shit niin PIRUN hidas kone, vissiin, ettei mitään määrää 😀
AssRock Z170A-X1 emolevy (skylake i3-6100 prossuna) ja aamulla päivitin 7.20 biosin sisään. Samdungin 850 PRO SSD:stä lähti 4k kirjoitusnopeudesta vaatimattomat -30% veks ja muuta mukavaa…:beye:
Juu, tiistaina tuli myös minun ASRockin H97-emollekin BIOS-päivitys, yli puolitoista vuotta sitä edeltävän jälkeen 🙂
Täällä ootellaan Asukselta Z97-emoon :swaiting:
Asus ei ole julkaissut oikein mihinkään emoon uutta kierrosta.
Saathan ladattua microsoftila kuitenkin?
Vau. Lenovo piti tälläkertaa kiinni omasta jutustaan ja julkasi mm tälle w520 thinkpadille uuden biosin =) Työnsin sisään heti ja toimii.
Iso käsi lenovolle.
Olis kyllä erinomaisen kiva nähdä vertailudataa ihan vaikka peleissä ja hyötyohjelmissa pre-meltdown vs. nykytilanne kaikilla windowsin korjauksilla, uusimmilla mikrokoodeilla ja vanhoilla Intel prossuilla.
"Harmi" että tuli laitettua omat desktop intel prossut kiertoon jo viime vuonna, niin ei voi itse testaa miten esim. sandy/ivy jne suoriutuu tämän päivän tilanteessa.
Meltdown & Spectre: Analyzing Performance Impacts on Intel's NUC7i7BNH
Anandtech julkaissut oman testiartikkelinsa suorituskykyvaikutuksista:
Pahimmillaan -29,15% (PCMark 8 Storage Bandwidth), parhaimmillaan +5,56% (PCMark 10 Gaming)
Ryan Smith muuten tuolla kommenteissa mainitsee, että vanhemmat prosessoriarkkitehtuuritkin (Sandy, Ivy, Haswell) benchmarkataan, kunhan Anandtech saa käsiinsä tarvittavat mikrokoodit joko Windows- tai bios-päivitysten kautta.