Spectre- ja Meltdown-haavoittuvuuksia on paikattu eri järjestelmissä niin käyttöjärjestelmäpäivityksillä kuin prosessoreiden mikrokoodipäivityksilläkin. Aina kaikki ei mene kuitenkaan niin kuin on suunniteltu, kuten Intelin Spectre-mikrokoodipäivityksen kanssa on käynyt.
Nyt myös Microsoft on reagoinut Intelin ongelmiin Spectre-haavoittuvuuden kakkosvariantin (CVE-2017-5715) kanssa. Yhtiön tukisivuston mukaan se on päättänyt julkaista uuden päivityksen, joka poistaa aiemman käyttöjärjestelmätason paikan Spectren kakkosvariantille Intelin prosessoreilta. Yhtiön mukaan tällä pyritään ehkäisemään Intelin havaitsemia uudelleenkäynnistymisongelmia sillä välin, kun Intel työstää uusia, ongelmattomia mikrokoodiversioita. Päivitys on julkaistu Windows 7 SP1:lle, Windows 8.1:lle ja kaikille Windows 10 -versioille palvelinversiot mukaan lukien.
Tämän lisäksi Microsoft antaa käyttäjille mahdollisuuden ottaa Spectren kakkosvariantin käyttöjärjestelmätason paikka käyttöön tai poistaa se käytöstä rekisterin välityksellä. Microsoft on julkaissut asiasta erillisen ohjeen IT-ammattilaisille sekä palvelinten ylläpitäjille.
Lähde: Microsoft
Microsoft’s Windows 7 Meltdown and Spectre Patch (KB4056894) Failing with BSOD
Jos pitäisi veikata, niin ongelmana on emolevyvalmistajien omat kilkkeet esimerkiksi graafiset bios liitynnät sekä secure boot, TPM et.all . Noiden kanssa täytyy käynnistysketjun integriteetti varmistaa ja nyt liikutaan sellaisella alueella, että on enempi vähempi todennäköistä ettei aikaisemmin käytetyt viritykset enää mene läpi.
Linuxilla ei ole vastaavaa ongelmaa, kun siellä ei emovalmistajien crapware ole aikaisemminkaan toiminut.
Jos pitäisi veikata, niin ongelmana on emolevyvalmistajien omat kilkkeet esimerkiksi graafiset bios liitynnät sekä secure boot, TPM et.all . Noiden kanssa täytyy käynnistysketjun integriteetti varmistaa ja nyt liikutaan sellaisella alueella, että on enempi vähempi todennäköistä ettei aikaisemmin käytetyt viritykset enää mene läpi.
Linuxilla ei ole vastaavaa ongelmaa, kun siellä ei emovalmistajien crapware ole aikaisemminkaan toiminut.
En usko että haluaisit. Pitää muistaa että GPOS:ssa natiivi bittileveys tarkoittaa muistinhallinnan ja osoitteiden perusyksiköiden minimikokoa. Teoreettinen x86-128 olisi niin muistisyöppö että nykymaailmassa se söisi koko hyödyn. VLIW yksiköitä on kuitenkin jo nyt käytössä AVX käskykannan muodossa esimerkiksi ja jopa Bulldozer taisi tukea 128 bittisiä vektorioperaatioita.
Semmoinen hauskuus on muuten Meltdownissa että mitä enempi koneessa on muistia, sitä pienempi kaista on sivukanavalla, koska skannattavia sivutauluja on enemmän.
Kaikkeen salaukseen päteekin vanha viisaus ajasta salaisuuksien säilyttäjänä, vaikkakin nykyään tykätään myös puhua myös entropiasta.
En usko että haluaisit. Pitää muistaa että GPOS:ssa natiivi bittileveys tarkoittaa muistinhallinnan ja osoitteiden perusyksiköiden minimikokoa. Teoreettinen x86-128 olisi niin muistisyöppö että nykymaailmassa se söisi koko hyödyn. VLIW yksiköitä on kuitenkin jo nyt käytössä AVX käskykannan muodossa esimerkiksi ja jopa Bulldozer taisi tukea 128 bittisiä vektorioperaatioita.
Semmoinen hauskuus on muuten Meltdownissa että mitä enempi koneessa on muistia, sitä pienempi kaista on sivukanavalla, koska skannattavia sivutauluja on enemmän.
Kaikkeen salaukseen päteekin vanha viisaus ajasta salaisuuksien säilyttäjänä, vaikkakin nykyään tykätään myös puhua myös entropiasta.
Niin ne ajat muuttuu, ei siitä nyt niin loputtoman kauan ole kuin DES DES – Wikipedia oli vielä vahva salaus, eikä se olut lähelläkään 128 bittistä ja kohistiin siitä että kolmikirjaimisten jenkkilän organisaatiot olivat huolissaan SSH1:n yleistymisestä … 😀
Niin ne ajat muuttuu, ei siitä nyt niin loputtoman kauan ole kuin DES DES – Wikipedia oli vielä vahva salaus, eikä se olut lähelläkään 128 bittistä ja kohistiin siitä että kolmikirjaimisten jenkkilän organisaatiot olivat huolissaan SSH1:n yleistymisestä … 😀
Tällähetkellä 64 bittinen muistiavaruus on täysin riittävä kaikkeen mahdolliseen, siinämäärin, että ei ole mitään järkeä sitoa hyvin rajallista transistoribudjettia yhtään natiiviin 128 bittiseen prossuun (laskentapuolelle on järkeä tehdä erikoisyksikköjä, niin kuin on tehty).
Puhumattakaan tuosta 128 bittisyyden turhasta resurssien syömisestä.
Tuo 640 KB heitto on typerä, kun jo sen heiton aikaan oli tiedossa, että muistin määrä kasvaa tuon rajan yli. Nyt taas hyödyt olisivat teoreettisiä, kun muistiavaruus olisi täysin 100%:n älytön, niin sinne olisi helpompi piilottaa asioita.
Muistikampa, joka kattaisi 64 bittisen muistiavaruuden olisi nykytekniikalla melkoisen iso ja kehitys pienentämisessä hidastuu kokoajan, sekä koon, että virrankulutuksen suhteen. Jättiharppaukset ovat kutistuneet vanhan mummon köpöttelyaskeliksi ja kutistuvat edelleen. Tarvitaan askeleita ihan toiseen suuntaan perustekniikan osalta, jos aiotaan harpata.
Tällähetkellä 64 bittinen muistiavaruus on täysin riittävä kaikkeen mahdolliseen, siinämäärin, että ei ole mitään järkeä sitoa hyvin rajallista transistoribudjettia yhtään natiiviin 128 bittiseen prossuun (laskentapuolelle on järkeä tehdä erikoisyksikköjä, niin kuin on tehty).
Puhumattakaan tuosta 128 bittisyyden turhasta resurssien syömisestä.
Tuo 640 KB heitto on typerä, kun jo sen heiton aikaan oli tiedossa, että muistin määrä kasvaa tuon rajan yli. Nyt taas hyödyt olisivat teoreettisiä, kun muistiavaruus olisi täysin 100%:n älytön, niin sinne olisi helpompi piilottaa asioita.
Muistikampa, joka kattaisi 64 bittisen muistiavaruuden olisi nykytekniikalla melkoisen iso ja kehitys pienentämisessä hidastuu kokoajan, sekä koon, että virrankulutuksen suhteen. Jättiharppaukset ovat kutistuneet vanhan mummon köpöttelyaskeliksi ja kutistuvat edelleen. Tarvitaan askeleita ihan toiseen suuntaan perustekniikan osalta, jos aiotaan harpata.
Minun suomenkielinen W10 päivittyi 4.1.
Voit myös päivittää KB4056892 päivityksen manuaalisesti Microsoft Update Catalog -sivulta.
Latauslinkit löytyy myös täältä: Cumulative Update KB4056892 Windows 10 v1709 Build 16299.192 – Windows 10 Forums
W10:ssä asennetaan sama päivitys kaikissa kieliversioissa.
Minun suomenkielinen W10 päivittyi 4.1.
Voit myös päivittää KB4056892 päivityksen manuaalisesti Microsoft Update Catalog -sivulta.
Latauslinkit löytyy myös täältä: Cumulative Update KB4056892 Windows 10 v1709 Build 16299.192 – Windows 10 Forums
W10:ssä asennetaan sama päivitys kaikissa kieliversioissa.
Intel Bug
Intel Bug
Levyoperaatiot ottavat tosiaan aika pahasti osumaa sen jälkeen kun käyttiksen lisäksi myös BIOS (mikrokoodi) on päivitetty:
Patched Desktop PC: Meltdown & Spectre Benchmarked
Levyoperaatiot ottavat tosiaan aika pahasti osumaa sen jälkeen kun käyttiksen lisäksi myös BIOS (mikrokoodi) on päivitetty:
Patched Desktop PC: Meltdown & Spectre Benchmarked
Bitdefender julkaisi odotetun päivityksen/tuen:
Information for Bitdefender users on the Microsoft January 2018 Security Update – Bitdefender
Bitdefender Endpoint Security Tools Version 6.2.28.973 Release Notes
Bitdefender julkaisi odotetun päivityksen/tuen:
Information for Bitdefender users on the Microsoft January 2018 Security Update – Bitdefender
Bitdefender Endpoint Security Tools Version 6.2.28.973 Release Notes
Tämä oli mielenkiintoista, mutta onko tää nyt jotain haihattelua, vai onko oikeesti tulossa muutoksia myös nVidian suorituskykyyn?
Tämä oli mielenkiintoista, mutta onko tää nyt jotain haihattelua, vai onko oikeesti tulossa muutoksia myös nVidian suorituskykyyn?
Tuo ei tarkoita että CPU:n ominaisuuksien rajoittaminen vaikuttaisi näytönohjaimeen, vaan että nVidia käyttää mahdollisesti samaa tekniikkaa ohjaimissaan ja jos se pitää paikkaansa, niin sitten myös nVidian pitäisi päivittää ohjaimiensa toimintamallia ja se sitten kyllä vaikuttaa melko varmasti myös suorituskykyyn. Se on kuitenkin vielä mutua onko tämä tarpeen ja jos on, niin millä tasolla ja millaisilla seurauksilla.
Edit.
Tuon nVidian oman blogin (tai siis Security bulletinin) mukaan päivityksiä on luvassa tämän kuun aikana. Aukoista variantit 1 ja 2 koskevat myös nVidiaa. Seuraukset selvinnevät siis muutamassa viikossa.
Tuo ei tarkoita että CPU:n ominaisuuksien rajoittaminen vaikuttaisi näytönohjaimeen, vaan että nVidia käyttää mahdollisesti samaa tekniikkaa ohjaimissaan ja jos se pitää paikkaansa, niin sitten myös nVidian pitäisi päivittää ohjaimiensa toimintamallia ja se sitten kyllä vaikuttaa melko varmasti myös suorituskykyyn. Se on kuitenkin vielä mutua onko tämä tarpeen ja jos on, niin millä tasolla ja millaisilla seurauksilla.
Edit.
Tuon nVidian oman blogin (tai siis Security bulletinin) mukaan päivityksiä on luvassa tämän kuun aikana. Aukoista variantit 1 ja 2 koskevat myös nVidiaa. Seuraukset selvinnevät siis muutamassa viikossa.
Juu, näin siis ajattelinkin, ettei tosiaan nuo CPU-sidonnaiset päivitykset noihin nVidian chippeihin suoraan vaikuta. Mietin lähinnä että onko kuinka mahdollinen skenaario että niissä on tuo sama haavoittuvuus, ja että sitä lähdetään (BIOS ja) ajuripäivityksellä paikkaamaan?
Juu, näin siis ajattelinkin, ettei tosiaan nuo CPU-sidonnaiset päivitykset noihin nVidian chippeihin suoraan vaikuta. Mietin lähinnä että onko kuinka mahdollinen skenaario että niissä on tuo sama haavoittuvuus, ja että sitä lähdetään (BIOS ja) ajuripäivityksellä paikkaamaan?
Näyttäisi nVidian omien sanojen mukaan olevan hyvinkin todennäköistä. Editoin tarkemmat tiedot tuohon edelliseen viestiini.
Näyttäisi nVidian omien sanojen mukaan olevan hyvinkin todennäköistä. Editoin tarkemmat tiedot tuohon edelliseen viestiini.
Näytönohjaimet eivät tee spekulatiivista suoritusta, eivätkä ole haavoittuvaisia näille.
Kyse on siitä, että nvidian näytönohjaimen ajuri(jota ajetaan CPUlla) sisältää koodia joka on haavoittuvainen spectrelle.
Ja techspot on ymmärtänyt väärin.
Näytönohjaimet eivät tee spekulatiivista suoritusta, eivätkä ole haavoittuvaisia näille.
Kyse on siitä, että nvidian näytönohjaimen ajuri(jota ajetaan CPUlla) sisältää koodia joka on haavoittuvainen spectrelle.
Ja techspot on ymmärtänyt väärin.
Voisin kuvitella että NVIDIAn cuda ja shader kääntäjät paikataan samaan tapaan kuin normikääntäjät sekä selaimien prosessisuojaukset. Jos AMD:ltä ei tule samaa noottia, niin silloin voi olla aikalailla varma että kyseessä on joku cudan ominaisuus johon muutokset tehdään.
Edit:
Voisi muuten laittaa melkein jotakin pientä panokseksi että DX12/Vulkan tarttee jotakin paikkoa myös.
Voisin kuvitella että NVIDIAn cuda ja shader kääntäjät paikataan samaan tapaan kuin normikääntäjät sekä selaimien prosessisuojaukset. Jos AMD:ltä ei tule samaa noottia, niin silloin voi olla aikalailla varma että kyseessä on joku cudan ominaisuus johon muutokset tehdään.
Edit:
Voisi muuten laittaa melkein jotakin pientä panokseksi että DX12/Vulkan tarttee jotakin paikkoa myös.
Nvidia on polkaissut pihalle uudet 390.65 ajurit joissa on mukana tietoturvapäivityksiä Spectreä vastaan. Ennen/jälkeen testejä odotellessa.
NVIDIA DRIVERS GeForce Game Ready Driver WHQL
Nvidia on polkaissut pihalle uudet 390.65 ajurit joissa on mukana tietoturvapäivityksiä Spectreä vastaan. Ennen/jälkeen testejä odotellessa.
NVIDIA DRIVERS GeForce Game Ready Driver WHQL
Humdidum….
Humdidum….
Lenovo saanut uusia bioksia ulos korjaamaan tätä Variant 2 (CVE-2017-5715) reikää. Odotin myös, että Variant 1 (CVE-2017-5753) olisi myös korjattu mutta ilmeisesti ei sitten olekaan.
https://support.lenovo.com/en/solutions/len-18282
Edit. Variant 1 saakin OS päivityksen.
Variant 1: Bounds check bypass (CVE-2017-5753)
Requires operating system updates
Vulnerable to Spectre attack
Variant 2: Branch target injection (CVE-2017-5715)
Requires processor microcode updates
Requires operating system updates
Vulnerable to Spectre attack
Variant 3: Rogue data cache load (CVE-2017-5754)
Requires operating system updates
Vulnerable to Meltdown attack
Lenovo saanut uusia bioksia ulos korjaamaan tätä Variant 2 (CVE-2017-5715) reikää. Odotin myös, että Variant 1 (CVE-2017-5753) olisi myös korjattu mutta ilmeisesti ei sitten olekaan.
https://support.lenovo.com/en/solutions/len-18282
Edit. Variant 1 saakin OS päivityksen.
Variant 1: Bounds check bypass (CVE-2017-5753)
Requires operating system updates
Vulnerable to Spectre attack
Variant 2: Branch target injection (CVE-2017-5715)
Requires processor microcode updates
Requires operating system updates
Vulnerable to Spectre attack
Variant 3: Rogue data cache load (CVE-2017-5754)
Requires operating system updates
Vulnerable to Meltdown attack
Paljonko maailmalla myydään/liisataan rautaa tai palvelua sopimuksella € per toteutunut suorituskyky? Nyt kun suorituskyvystä napsastaan palvelinmaailmassa 30% pois, tarkoittaa samaa kuin 1/3 raudasta olisi heitetty kaatopaikalle ja uutta tilalle. Tästä voi tulla aikamoinen ketju joka johtaa suoraan korvausvaatimuksineen Intelin ovelle. Olisi mielenkiintoista nähdä palvelinrautatoimituksien tilastoa tästä hetkestä +/- 1 vuosi.
Paljonko maailmalla myydään/liisataan rautaa tai palvelua sopimuksella € per toteutunut suorituskyky? Nyt kun suorituskyvystä napsastaan palvelinmaailmassa 30% pois, tarkoittaa samaa kuin 1/3 raudasta olisi heitetty kaatopaikalle ja uutta tilalle. Tästä voi tulla aikamoinen ketju joka johtaa suoraan korvausvaatimuksineen Intelin ovelle. Olisi mielenkiintoista nähdä palvelinrautatoimituksien tilastoa tästä hetkestä +/- 1 vuosi.
Yksi asia mikä on varmaa , että monen palvelun hinta tulee väkisin nousemaan. Jollainhan heidän on kasvanut tehontarve, ja siitä johtuvat lisäinvestoinnit rahoitettava.
Yksi asia mikä on varmaa , että monen palvelun hinta tulee väkisin nousemaan. Jollainhan heidän on kasvanut tehontarve, ja siitä johtuvat lisäinvestoinnit rahoitettava.
Varmaan mahdoton sanoa. Oikea vastaus lienee paljon, mutta kuinka suuri osa se on kokonaismarkkinasta on toinen juttu. Aikapaljonhan noita myydään myös ihan resurssina. Jos on myyty 4 Xeonia x, se on edelleen 4 Xeonia x.
Varmaan mahdoton sanoa. Oikea vastaus lienee paljon, mutta kuinka suuri osa se on kokonaismarkkinasta on toinen juttu. Aikapaljonhan noita myydään myös ihan resurssina. Jos on myyty 4 Xeonia x, se on edelleen 4 Xeonia x.
Mielenkiintoista nähdä, kasvattaako tuo latenssia ajureille siinämäärin, että porukat huomaavat sen muusiikintekokoneissa, jossa on esim vältelty ryzeniä, sen korkeampien latenssien vuoksi. Tosin niihinhän ei välttämättä asenneta mitään päivityksiä, eivätkä ne ole netissä…