Alun perin Intelin prosessoreista paljastunut tietoturva-aukko on pitänyt myös io-techin kiireellisenä tänään, kun yritys toisensa jälkeen on kommentoinut asiaa tavalla tai toisella. Sittemmin on paljastunut, että ongelma koskee jollain tasolla myös muita prosessorivalmistajia.
Microsoft on kertonut päätyneensä poikkeukselliseen ratkaisuun ja julkaissut päivityksen Windows-käyttäjille jo nyt, kun yleensä se julkaisee päivityksiä vain Patch Tuesday -päivinä. Lisäksi yhtiöllä on parhaillaan käynnissä pilvipalveluidensa päivitys ongelman paikkaamiseksi.
We’re aware of this industry-wide issue and have been working closely with chip manufacturers to develop and test mitigations to protect our customers. We are in the process of deploying mitigations to cloud services and have also released security updates to protect Windows customers against vulnerabilities affecting supported hardware chips from Intel, ARM, and AMD. We have not received any information to indicate that these vulnerabilities had been used to attack our customers.
Huolimatta Microsoftin lausunnosta ainakaan allekirjoittaneen Windows 10 ei löytänyt vielä uusia päivityksiä.
Päivitys:
Microsoftin päivitys ongelmaan on nimeltään KB4056892 ja se on nyt ladattavissa joko Windows Updatesta tai manuaalisesti Microsoft Update Catalogista.
Lähde: The Verge
Viestintäviraston haavoittuvuus-sivulla:
Tällänen löyty: Coreinfo – Windows Sysinternals
Pura kansioon, shift + oikea klikkaus kansiossa -> command promt -> kirjoitat rimpsun coreinfo [-c][-f][-g][-l][-n][-s][-m][-v] -> katsot kohdan PCID, jos *, niin tukee, jos – niin ei tue.
Miksi ketään kiinnostaisi, mikä kotikäyttäjää kiinnostaa? :confused:
Päivitetyllä käyttiksellä kun vedän ruoska-Intelillä jonku MySQL tai PostgreSQL tulille, niin tämän päivityksen jälkeen työn tehokkuus tippuu paljon. Mutta miksi ketään kiinnostaisi, kun veispuukki ja ceeäs toimii? :tup:
Tämä näytti, kiitos.
Pelkka coreinfo ilman mitään rimpsuja oli toimiva.
Ilmeisesti kyse variantista 1?
Onpa kyllä paskamyrsky, vaikka en puoliakaan tajua tästä hyvin teknispainotteisesta keskustelusta.
On jäänyt kaikki pätsit laittamatta Win8.1:seen sen jälkeen kun Microsoftin GWX-malware putkahti minunkin koneelle (ja sen jälkeen kaikki uudet vakoilupaskeet).. tarkoitus on ollut siirtyä pikimmiten linuxiin ja aina kun on ollut aikaa niin tehnyt valmisteluja, nyt paska housussa kun en ilmeisesti voi vaan ajaa uusinta pätsiä näihin haavoittuvuuksiin.. ei uskalla edes Keepassin salasana-lokeroa käyttää koneella kun kaikki voi vuotaa.
Microsoftin sivuilta bongasin tämän:
Pitääkö tosiaan vielä ruveta etsimään jotain firmware-päivityksiä erikseen? Kiva vanhoille laitteille.
Onko missään selvästi esitetty (ilman teknisjargonia), että mihin laitteisiin nämä haavoittuvuudet kohdistuu?
Esim. minulla:
– tabletissa: Intel Atom Z2560 (Android 4.4.jotain, eli päivityksiä ei varmasti tule mistään, voiko tätä laitetta sitten käyttää ollenkaan enää jos haavoittuva?)
– läppärissä: i5-4200U
Onko nuo haavoittuvia? Kännykän (Noksu5) päivitys varmaan tulee, jos tarpeen, ja Synologyn NASsiin pätsi on tekeillä.
Nimimerkillä: epätietoinen vaikka yrittänyt lukea paljon asiasta.
Ööö, turha minulta kysyä. Lainasin vain mitä siellä luki.
Käytännössä kaikkiin käytössä oleviin koneisiin. Meltdown lähinnä intel (kaikki mallit) ja muilla sitten spectre tavalla tai toisella. Eli kyllä, koskee sinuakin.
Onkohan tämä nyt varma? Nimittäin nyt kun googlasin lisää, sattui pari juttua silmään.
Meltdown FAQ:
Wikipedian Intel Atom-prossujen listauksessa minun tablettini Atom Z2560 on merkitty julkaistuksi February 25, 2013.
Mutta jos etsin tietoa onko Atom Z2560:ssa out-of-order execution:ia niin _näyttäisi_ siltä että EI ole (kaikissa versus.com vertailuissa Atom Z2560:ssä ei ole tuota OoO-executionia, esim1), en saa googlattua varmaa tietoa, Intelin sivuilla prossun spekseistä en löydä mitään asiaan viittaavaa ja eri nettisivuilta silmissä pyörii kaikenmaailman Intelin mikroarkkitehtuurit joissa tuo fiitseri olisi tai ei ole, en saa selvää.. on kyllä hankalaa, kauhulla ajattelen jotain vanhempaa väkeä erilaisten laitteiden ja koneiden kanssa joilla ei ole mitään kykyä tajuta tai selvittää tätä asiaa.
Mikä on sitten oikea tieto? Pitääkö heittää tabletilla vesilintua vai ei? VMP. Olisi paljon muutakin tekemistä kuin selvitellä tällaisia.
Ja plot-thickens, tuolta versus.com-sivuilta löytyy vertailu jossa läppärini Intel Core i5-4200U (joka sekin julkaistu 2013 vuoden alussa) ei sisältäisi out-of-order execution:ia. Mikähän se totuus nyt oikein on.. :rage:
Päivitin uudelleen pakettipuuta. Uusin revisio linux-firmwaresta asensi /lib/firmware/amd-ucode/microcode_amd_fam17h.bin, muttei pgp-signausta kuten muissa hakemiston tiedostoissa. Microcode loader näyttää edelleen patch_level=0x08001129, en osaa sanoa patchasiko se mitään (Asus B350+ pari kk vanha bios sisällä).
Se ettei tuollaisiin versus-sivustoihin kannata luottaa.
Atomeihin tuli OoOE Silvermontin myötä, tuo sinun Atomisi on Cloverview joka perustuu Bonnell-arkkitehtuuriin eli ei ole OoOE-prosessori
Kyllä se kotikäyttäjää alkaa kummasti kiinnostaa jos juutuubi videot alkaa vaikka tökkiä sen takia että googlen salista loppuu kapasiteetti kun yht äkkiää palvelintehosta haistuu kolmannes tai pahimmassa tapauksessa puolet.
No jos täysin varma haluaa olla niin kannattaa heittää kaikilla vehkeillä vesilintua joissa on prosessori ja vetää foliopipo tiukasti päähän.
No niinpä, mutta kun selvää tietoa en mistään muualta löytänyt/löydä.. ja oli siellä ilmeisesti kuitenkin se Atom-prossun tieto oikein. Löytääkö joku muu jostain luotettavaa tietoa?
Eli ei ainakaan sitten Meltdown-pelkoa ole, phuih, laite jää sitten käyttöön. Kiitos paljon tiedosta!
Olikos sulla jotain ihan asiallistakin sanottavaa?
Lisätään nyt vielä, että ei tuolla Meltdown FAQ:ssakaan sitten ihan oikeaa tietoa ollut jos siellä paalutetaan, että vain Atomit ennen vuotta 2013 eivät olleet haavoittuvaisia (oma Atom oli 2013 julkaistu). Vaikeaa se on oikean tiedon löytäminen.
Vaikka tuo nimenomainen julkaistiin 2013 ensimmäinen ko. tuoteperheestä julkaistiin 2012
Joo okei, mutta silti, siellä FAQissa puhutaan vain Intel Atom:ista, mistä minun pitäisi arvata, että mitä se sitten tarkasti tarkoittaa?
Tästä olisi mielenkiintoista saada lisätietoa. Kommentin "This new firmware disables branch prediction on AMD family 17h processor
to mitigate a attack on the branch predictor that could lead to
information disclosure from e.g. kernel memory (bsc#1068032 CVE-2017-5715)."
Perusteella kohteena on Spectre, mutta eikö haarautumisen ennustamisen poistaminen käytöstä aiheuta merkittäviä haittoja suorityskykyyn? Poistetaanko branch prediction kokonaan?
On mahdotonta tehdä aina täydellisiä dokumentteja. Tuossakin lauseessa sanotaan että "käytännössä kaikki paitsi itanium ja pre-2013 atom", ei että aivan varmasti jok'ikinen paitsi nuo.
Kiinnostaisi tietää itselläkin.
Kokeilin kernel-dokumentaation late-loadausta, dmesgiin ilmestyi pari riviä:
Pitäisköhän päivittää UEFI ensin?
Kaikki viimeinen 10-20 vuoden aikana julkaissut Intelin prossat ja muutamat muut, eli jep… pitäis päivitellä käyttikset. Win7 päivitys ei ole vielä valmis, joten sitä joutuu odotteleen. Win XP ei välttämättä päivitystä enää saa, mutta kun korporaatit vielä käyttää, niin ei se mahdotonta ole sillekkään.
Jännä ettei kenellekkään ole tullut mieleen koko asia ikinä ennen muka missään.
Eikös tuo Windows XP POSReady ole edelleen tuettu joten eiköhän XP:lle tule päivitys
Tässä listaus av-ohjelmista
CVE-2017-5753, CVE-2017-5715, and CVE-2017-5754 (Meltdown and Spectre) Windows antivirus patch compatibility
Niin siis chrome taitaa olla ainoa selain, jossa tuolle on suojaus (site isolation). Tosin on flagin takana, kun kuluttaa enemmän muistia ja muutenkin chrome sitä tykkää syödä.
@TenderBeef jos tabusi on Android 4.4 versiolla vielä niin siinä on kyllä niin paljon jo aukkoja valmiiksi ettei tällä varmaan ole suurempaa merkitystä
Kaikki ohjelmat, ihan jokaikinen ikinä tehty ohjelma on mahdollinen riski.
Tuo JavaScript mikä ajetaan selaimessa oli vain yksittäinen esimerkki, ihan yhtä hyvin vaikka Microsoftin pasianssi voisi tuota hyödyntää.
Ei tuollaisia kannata heitellä edes vitsillä, kun joku ottaa sen kuitenkin todesta ja kertoo faktana edelleen jossakin muualla.
Todellinen hävikki suorituskyvyssä ei ole ollut missään testissä pahimmassa tilanteessa edes sitä peloteltua 30 prosenttia. Kyllä sillä suuressa mittakaavassa varmasti vaikutusta on, mutta ei kuitenkaan käytännössä palveluiden loppukäyttäjille.
Samaa ongelmaa myös omenapuolella:
Apple says all Mac devices hit by chip bug
Samasta syystä kun osaa porukasta ei kiinnosta pätkääkään kun kahden valtion johtajat uhoaa ydinaseilla. Eihän se omaan elämään vaikuta mitenkään. (ts. ei osaa edes ymmärtää että se vaikuttaisi omaan elämään jos paska osuu tuulettimeen.) :rofl:
Joko jossain testattu paljon sandy hidastuu, esim oma 2700K?
Media on monikko sellaisenaan. 🙂
Joku taisi aikaisemmin kysellä cryptojen louhinnasta. Iskin äsken pelipannuun (Win10) tuon meltdown patchin ja käynnistin louhinnan Monerolle (XMR) uudellen.
CPU miner + GPU miner, kummassakaan ei selvää eroa tehoissa, eli virhemarginaalin sisällä. (Mikä oli sinänsä oletettavissa kun ei noiden pitäisi pahemmin syscaleja tehdä).
Win pöntsässä: 3700k + RX 580
Linux pöntsän vastaavat testit taitaa jäädä tekemättä kun ohjain on takuuvaihdossa 😉
hieman off-topic, mutta spectren ja meltdownin tänne linkatut paperit ovat hyvä katsaus siihen miten nykyisin CPU:n liukuhihnoitus ja muistialijärjestelmä toimii. Kannattanee lueskella läpi kun ovat kuitenkin hyvinkin selkokielisiä vaikkei muutoin olisi kiinnostunut suorittimien sielunelämästä.
Salassapitoa tai ei, jos on haavoittuvuuksia prossussa (ihan mitä tahansa) silloin ei voi kehua että: "meidän prossut on turvattuja".:)
En.
Tuossa korjatun Windowsin ytimien käyttöä (1. testiosio):
Chromelle tulee 23.1. päivitys joka vähentää riskiä. Product Status – Google Help
Nyt jo voi flags kautta itse sandboxaa prosesseja joka auttaa.
PCID tuki jos on, on kuulemma performance hit pienempi.
Yhdessä tekstissä luki että oli vasta Haswell eteenpäin, mutta miksi muistan että olisi ollut aiemmin… toisessa tekstissä mitä en löydä.
Tuossa noita "normaalin käyttäjän" tekemisiä enemmän koskevia testejä, kuten pelit. Menee virhemarginaaliin erot tuon Windows patchin kanssa. Toki tuossa tuoreempia, ja muutenkin tehokkaita, suorittimia.
Testing Windows 10 Performance Before and After the Meltdown Flaw Emergency Patch
auts …
Google jo tehnyt jotain fixiä Spectreenkin ilmeisesti ja muutenkaan ei merkittävää tehon menetystä Google Online Security Blog: More details about mitigations for the CPU Speculative Execution issue
Retpoline: a software construct for preventing branch-target-injection – Google Help
Päivityksellä ei näyttäisi olevan mitään käytännön vaikutusta suorituskykyyn ainakaan peruskäyttäjälle.
Ilmeisesti ei, vaan kyse lienee tästä Controlling the Performance Impact of Microcode and Security Patches for CVE-2017-5754 CVE-2017-5715 and CVE-2017-5753 using Red Hat Enterprise Linux Tunables – Red Hat Customer Portal
Käynnistyksessä lukitaan kaikki ja ajossa sitten auotaan jos auotaan.
Ei kai kukaan 2018 käytä enää merkkijonoa maksuvälinevarmenteena? Apple Pay token perusteinen ja kaksivaiheiset tunnistautumiset niin verkkopankeissa kuin maksupalveluissa käytössä.
Ai vähän niinku luottokortin tiedot 🙂
sudo <käyttäjä> <passwd>
tai vaikkapa LastPass kredentiaalit, twiitin cred ei tarkoita luottokorttia vaan tunnistetietoja yleisesti.
Itse en hirveästi foliohattuile, mutta tämä on hyvä syy olla tallentamatta korttitietojaan juuri minnekkään. Onneksi sekin kortti on vaan debit 8)
"Parhautta" on kuitenkin Nordnetin palvelut, kaksivaiheisuutta ei ole, eikä näillä näkymin tulekkaan. Kaikki ne osakesalkut pelkästään salasanan ja tunnuksen takana. Onneksi sentään vastatilihomma on tuolla aspan läpi, mutta se ei estä vaihtamasta salasanaa, sotkemasta salkkua ja aiheuttamasta valtavaa päänvaivaa.
No sitten testillä ei ole mitään merkitystä. Työpöytäkoneissa IO ei tietenkään kuormita prosessoria huomattavasti, mutta serverissä tilanne voi olla täysin eri.
Näköjään Apple päivittänyt tuota security ilmoitusta ja Meltdown olisi korjattu myös Sierra ja El Capitan käyttöjärjestemissä.
About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
Kernel
Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Impact: An application may be able to read kernel memory
Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.
CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology
Entry added January 4, 2018
Myös iOS 11.2 sama homma.
About the security content of iOS 11.2
Kernel
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: An application may be able to read kernel memory
Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.
CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology
Entry added January 4, 2018
EDIT: Tiedotteessa puhuvat vain High Sierrasta (10.13.2) niin mahdollista, että väärin tuossa Security tiedotteessa eli ei koske Sierra ja El Capitan käyttiksiä.
About speculative execution vulnerabilities in ARM-based and Intel CPUs
[offtopic]
Debitti on paljon pahempi. Creditin kanssa luottokunta hoitaa ongelmia (jonka bisnes on hoitaa niitä ongelmia), mutta debitin kanssa joutuu tappelemaan oman pankin kanssa.
Jenkkipankit. Yllätyt, kun otat selvää niiden login käytännöistä
Jahas, aiemmin oli käsitys että Apple paikkasi nämä jo joulukuussa?