Spectre- ja Meltdown-haavoittuvuuksia on paikattu eri järjestelmissä niin käyttöjärjestelmäpäivityksillä kuin prosessoreiden mikrokoodipäivityksilläkin. Aina kaikki ei mene kuitenkaan niin kuin on suunniteltu, kuten Intelin Spectre-mikrokoodipäivityksen kanssa on käynyt.
Nyt myös Microsoft on reagoinut Intelin ongelmiin Spectre-haavoittuvuuden kakkosvariantin (CVE-2017-5715) kanssa. Yhtiön tukisivuston mukaan se on päättänyt julkaista uuden päivityksen, joka poistaa aiemman käyttöjärjestelmätason paikan Spectren kakkosvariantille Intelin prosessoreilta. Yhtiön mukaan tällä pyritään ehkäisemään Intelin havaitsemia uudelleenkäynnistymisongelmia sillä välin, kun Intel työstää uusia, ongelmattomia mikrokoodiversioita. Päivitys on julkaistu Windows 7 SP1:lle, Windows 8.1:lle ja kaikille Windows 10 -versioille palvelinversiot mukaan lukien.
Tämän lisäksi Microsoft antaa käyttäjille mahdollisuuden ottaa Spectren kakkosvariantin käyttöjärjestelmätason paikka käyttöön tai poistaa se käytöstä rekisterin välityksellä. Microsoft on julkaissut asiasta erillisen ohjeen IT-ammattilaisille sekä palvelinten ylläpitäjille.
Lähde: Microsoft
Käsityksesi on väärä:
Project Zero: Reading privileged memory with a side-channel
Variant 1 on käsittääkseni haitallinen AMD:llä vain linuxilla, ja Microsoft päivitti Windowsia.
Variant 1 on käsittääkseni haitallinen AMD:llä vain linuxilla, ja Microsoft päivitti Windowsia.
Vaikka googlen poc:it (varmaan molemmat) on tehty linuxilla, niin eihän se ole todiste siitä että windowssissa ei voisi olla samaa?
Varmaankin microsoft itse tietää tämän paremmin voiko vai eikö voi olla.
Vaikka googlen poc:it (varmaan molemmat) on tehty linuxilla, niin eihän se ole todiste siitä että windowssissa ei voisi olla samaa?
Varmaankin microsoft itse tietää tämän paremmin voiko vai eikö voi olla.
Voisiko tällä olla jotain tekemistä että patchi käyttäisi jollain tapaa SSE4.1 mitä vanhemmat AMD (= Phenom II) kivet eivät tue?
Voisiko tällä olla jotain tekemistä että patchi käyttäisi jollain tapaa SSE4.1 mitä vanhemmat AMD (= Phenom II) kivet eivät tue?
*tupla*
*tupla*
Ei.
En ole varma, mutta käsittääkseni kyse on seuraavasta:
K8 tukee vain 48-bittisiä virtuaaliosoitteita. Jotta tuki voidaan myöhemmillä prosessorimalleilla laajentaa täyteen 64 bittiin rikkomatta mitään, haluttiin estää käyttämästä pointterien ylimpiä bittejä metadata-/tagibitteinä.
Tällainen pointterien ylimpien bittien käyttäminen metadatana oli yleistä amiga-aikoina, amiga 500n 68000-prosessori tuki vain 24-bittisiä osoitteita ja rekisterien ylimmät 8 bittiä oli käyttämättä itse osoitteeseen, ja johti siihen, että jotkut amiga 500lle tehdyt softat eivät toimineet uudemmilla amigoilla joissa oli täydet 32-bittiset osoitteet.
Jotta ylimpiä bittejä ei käytettäisi metadatana, x86-64-käskykantaan speksattiin ominaisuus, että pointerien ylimpien 16 bitin pitää aina olla samat kuin sen viimeisen merkitsevän bitin, eli K8ssa 48. bitin, ja jos ei ole, tällaisen pointterin käyttäminen johtaa virhetilanteeseen.
Joissain myöhemmissä x86-prosessoreissa on otettu yksi kerros sivutauluja lisää, ja virtuaaliosoitteet on laajennettu 56 bittiin. Ilmaisesti tuo microsoftin patchi sai aikaan sen, että muodostettiin osoitteita, joissa jossain tuolla 49.-56. bitin välillä oli bittejä jotka ovat eri asennossa kuin 48. bitti.
Ei.
En ole varma, mutta käsittääkseni kyse on seuraavasta:
K8 tukee vain 48-bittisiä virtuaaliosoitteita. Jotta tuki voidaan myöhemmillä prosessorimalleilla laajentaa täyteen 64 bittiin rikkomatta mitään, haluttiin estää käyttämästä pointterien ylimpiä bittejä metadata-/tagibitteinä.
Tällainen pointterien ylimpien bittien käyttäminen metadatana oli yleistä amiga-aikoina, amiga 500n 68000-prosessori tuki vain 24-bittisiä osoitteita ja rekisterien ylimmät 8 bittiä oli käyttämättä itse osoitteeseen, ja johti siihen, että jotkut amiga 500lle tehdyt softat eivät toimineet uudemmilla amigoilla joissa oli täydet 32-bittiset osoitteet.
Jotta ylimpiä bittejä ei käytettäisi metadatana, x86-64-käskykantaan speksattiin ominaisuus, että pointerien ylimpien 16 bitin pitää aina olla samat kuin sen viimeisen merkitsevän bitin, eli K8ssa 48. bitin, ja jos ei ole, tällaisen pointterin käyttäminen johtaa virhetilanteeseen.
Joissain myöhemmissä x86-prosessoreissa on otettu yksi kerros sivutauluja lisää, ja virtuaaliosoitteet on laajennettu 56 bittiin. Ilmaisesti tuo microsoftin patchi sai aikaan sen, että muodostettiin osoitteita, joissa jossain tuolla 49.-56. bitin välillä oli bittejä jotka ovat eri asennossa kuin 48. bitti.
@hkultala Hyvin kerrottu!
Jos näin on, niin miksiköhän sitten MS ei olisi tätä tietoa ollut olemassa?
@hkultala Hyvin kerrottu!
Jos näin on, niin miksiköhän sitten MS ei olisi tätä tietoa ollut olemassa?
… paitsi näköjään olin sen verran väärässä, että vielä mikään x86-prossu ei taidakaan vielä tukea >48-bittisiä virtuaaliosoitteita, ja ilmeisesti seurava askel onkin 57- eikä 56-bittiset osoitteet, yksi sivutaulutaso tosiaan tuo 9 eikä 8 bittiä lisää. (tai jos joku tukee niin se on joku viime syksynä julkaistu xeon)
https://software.intel.com/sites/default/files/managed/2b/80/5-level_paging_white_paper.pdf
Mutta käsittääkseni jotenkin silti liittyy tuohon.
… paitsi näköjään olin sen verran väärässä, että vielä mikään x86-prossu ei taidakaan vielä tukea >48-bittisiä virtuaaliosoitteita, ja ilmeisesti seurava askel onkin 57- eikä 56-bittiset osoitteet, yksi sivutaulutaso tosiaan tuo 9 eikä 8 bittiä lisää. (tai jos joku tukee niin se on joku viime syksynä julkaistu xeon)
https://software.intel.com/sites/default/files/managed/2b/80/5-level_paging_white_paper.pdf
Mutta käsittääkseni jotenkin silti liittyy tuohon.
Ok. Täytyy tunnusta että en ole muistien bittejä miettinyt sitten mainittujen Amiga-aikojen. SAS/C lämmöllä muistaen. 😉
Ok. Täytyy tunnusta että en ole muistien bittejä miettinyt sitten mainittujen Amiga-aikojen. SAS/C lämmöllä muistaen. 😉
Eikös MS:n vastaus valitellut vain virheellisestä piirisarja dokumentaatiosta, ei itse prosessorin dokumentaatiosta?
Onko mahdollista, että SSD-levy olisi suoraan peilattu johonkin muistialueelle, ja MS nyt suojaisi kyseistä muistialuetta puukottamalla piirisarjaa?
Eikös MS:n vastaus valitellut vain virheellisestä piirisarja dokumentaatiosta, ei itse prosessorin dokumentaatiosta?
Onko mahdollista, että SSD-levy olisi suoraan peilattu johonkin muistialueelle, ja MS nyt suojaisi kyseistä muistialuetta puukottamalla piirisarjaa?
Microsoftalla ollut entinen työntekijä kertoi, että mikkisofta antoi monelle kenkää että enää ei patseja testata laajasti eri kone kokoonpanoilla.
Vaan patsit testataan nykyisin käyttäjillä, en yhtään ihmettele jos päivitys viimeisen 4v aikana on silloin tällöin rikkonut jotain.
Microsoftalla ollut entinen työntekijä kertoi, että mikkisofta antoi monelle kenkää että enää ei patseja testata laajasti eri kone kokoonpanoilla.
Vaan patsit testataan nykyisin käyttäjillä, en yhtään ihmettele jos päivitys viimeisen 4v aikana on silloin tällöin rikkonut jotain.
En tiedä miksi joku voi valittaa edes, jos jollai ahtlon koneella ei toimi asiat vuonna 2018.
Eikös tuo tullut ulos joskus yli 10 vuotta sitten…
En tiedä miksi joku voi valittaa edes, jos jollai ahtlon koneella ei toimi asiat vuonna 2018.
Eikös tuo tullut ulos joskus yli 10 vuotta sitten…
Applehan korjasi tuon prosessorin sulamisen joulukuun alun 10.13.2 -versiossa, enkä huomannut tuolloin, enkä vieläkään (uusin Safari-lisäpätsi) mitään eroa latensseissa tai prosessoritehoissa; dawina Logic Pro X ja rautana Core audiota natiivisti tukeva Focusraitti. Kokeilin paria vanhempaakin rojektia, jotka pyörivät aiemmin kiikun kaakun tehojen ylärajoilla ja näin ne pyörivät edelleen. Core audio on toki hieman muiden käyttöjärjestelmien rajapintoja integroidumpi, mutta näin periaatteessa en välttelisi päivityksiä, jos olisi Win/ASIO tai Linuxin Jackki käytössä.
Applehan korjasi tuon prosessorin sulamisen joulukuun alun 10.13.2 -versiossa, enkä huomannut tuolloin, enkä vieläkään (uusin Safari-lisäpätsi) mitään eroa latensseissa tai prosessoritehoissa; dawina Logic Pro X ja rautana Core audiota natiivisti tukeva Focusraitti. Kokeilin paria vanhempaakin rojektia, jotka pyörivät aiemmin kiikun kaakun tehojen ylärajoilla ja näin ne pyörivät edelleen. Core audio on toki hieman muiden käyttöjärjestelmien rajapintoja integroidumpi, mutta näin periaatteessa en välttelisi päivityksiä, jos olisi Win/ASIO tai Linuxin Jackki käytössä.
Microsoft julkaisi oman näkemyksensä korjausten vaikutuksesta suorituskykyyn. Eivät vielä julkaisseet benchmarkkeja, mutta antoivat tietoa noin yleisellä tasolla että minne on odotettavissa penaltyä.
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
Summary:
Microsoft julkaisi oman näkemyksensä korjausten vaikutuksesta suorituskykyyn. Eivät vielä julkaisseet benchmarkkeja, mutta antoivat tietoa noin yleisellä tasolla että minne on odotettavissa penaltyä.
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
Summary:
Eikö Windows-tietokoneesi enää käynnisty? Microsoft painoi paniikkinappulaa – Meltdown- ja Spectre-päivityksien jakelu keskeytetty – Tekniikanmaailma.fi
Onko tuolle lehden väitteelle enemmänkin pohjaa, että päivitys olisi vaurioittanut myös Intel koneita?
Eikö Windows-tietokoneesi enää käynnisty? Microsoft painoi paniikkinappulaa – Meltdown- ja Spectre-päivityksien jakelu keskeytetty – Tekniikanmaailma.fi
Onko tuolle lehden väitteelle enemmänkin pohjaa, että päivitys olisi vaurioittanut myös Intel koneita?
Samaa puolueellista klikkihuoraus-paskaa ilman perusteita mitä nykyinen verkko-TM on suoltanut jo vuosia. Itse uutisessakin todetaan, että "jakelu on keskeytetty tietyiltä AMD-koneilta", eli juuri niiltä Athloneilta, mutta silti piti huomiohakuisesti vetää myös Intel mukaan, vaikka ongelma ei niitä koskekaan.
Voin vain kuvitella miten Esson baarissa taas tuulipuvut kahisevat kun massat pääsevät myllyttämään sitä "paskaa Windowsia". 😀
Samaa puolueellista klikkihuoraus-paskaa ilman perusteita mitä nykyinen verkko-TM on suoltanut jo vuosia. Itse uutisessakin todetaan, että "jakelu on keskeytetty tietyiltä AMD-koneilta", eli juuri niiltä Athloneilta, mutta silti piti huomiohakuisesti vetää myös Intel mukaan, vaikka ongelma ei niitä koskekaan.
Voin vain kuvitella miten Esson baarissa taas tuulipuvut kahisevat kun massat pääsevät myllyttämään sitä "paskaa Windowsia". 😀
Tämä kylläkin tuli nyt tammikuussa.
About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple security updates
Tämä kylläkin tuli nyt tammikuussa.
About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple security updates
Puhut nyt eri pätsistä mutta näemmä uutiseenkin on päässyt virhe, 10.13.2 -päivitys tuli jo joulukuussa ja korjasi Meltdownin, eli tämä ei päivitä .1 > .2 vaan .2 > .2 ja korjaa Spectren
Puhut nyt eri pätsistä mutta näemmä uutiseenkin on päässyt virhe, 10.13.2 -päivitys tuli jo joulukuussa ja korjasi Meltdownin, eli tämä ei päivitä .1 > .2 vaan .2 > .2 ja korjaa Spectren
Mahdotonta, sillä Esso-ketju lopetettiin vuonna 2006. :p
Koska mieleni on utelias, uninstalloin bitdefenderin jonka jälkeen päivitys napsahti oitis koneelle. Ajelin CDM:n ja onhan tuossa eroja, mutta noilla ei liene tällaisen kotikäyttäjän kannalta merkitystä? Pelaan ja surffaan.
Mahdotonta, sillä Esso-ketju lopetettiin vuonna 2006. :p
Koska mieleni on utelias, uninstalloin bitdefenderin jonka jälkeen päivitys napsahti oitis koneelle. Ajelin CDM:n ja onhan tuossa eroja, mutta noilla ei liene tällaisen kotikäyttäjän kannalta merkitystä? Pelaan ja surffaan.
Eikös eilen pitänyt olla viimeinenkin Bitdefender softa pätsätty tukemaan tai ilmoittamaan tukensa Windows patchille? Information for Bitdefender users on the Microsoft January 2018 Security Update – Bitdefender
Toki ehkä pieni viive tossa, että osalla vasta tänään Bitdefenderin kanssa lähtee pelittää.
Eikös eilen pitänyt olla viimeinenkin Bitdefender softa pätsätty tukemaan tai ilmoittamaan tukensa Windows patchille? Information for Bitdefender users on the Microsoft January 2018 Security Update – Bitdefender
Toki ehkä pieni viive tossa, että osalla vasta tänään Bitdefenderin kanssa lähtee pelittää.
Microsoft says its Meltdown and Spectre patches slow down older PCs more than newer ones (2016 and later) – Liliputing
Microsoft says its Meltdown and Spectre patches slow down older PCs more than newer ones (2016 and later) – Liliputing
Esson baari on mielentila, ei paikka. 😀
Esson baari on mielentila, ei paikka. 😀
Ettei olis markkinointi osasto laitettu hommiin eli ostakaa uutta ostakaa.
Ettei olis markkinointi osasto laitettu hommiin eli ostakaa uutta ostakaa.
Laadukas artikkeli taas.
TM:n tapaan ovat vetäneet mutkat suoriksi klikkien perässä ja toteavat mm. näin:
Höhö! Tietyt AMD-koneet ottavat niin paljon osumaa suorituskykyyn, että koneet eivät edes boottaa!!! Höhö!!! 😀
Laadukas artikkeli taas.
TM:n tapaan ovat vetäneet mutkat suoriksi klikkien perässä ja toteavat mm. näin:
Höhö! Tietyt AMD-koneet ottavat niin paljon osumaa suorituskykyyn, että koneet eivät edes boottaa!!! Höhö!!! 😀
Hetznerillä on ihan hyvä Wiki -sivu aiheeseen liittyen miten heidän palvelimien patchit menee (eri käyttikset jne): https://wiki.hetzner.de/index.php/Spectre_and_Meltdown/en
Hetznerillä on ihan hyvä Wiki -sivu aiheeseen liittyen miten heidän palvelimien patchit menee (eri käyttikset jne): https://wiki.hetzner.de/index.php/Spectre_and_Meltdown/en
Olisi kiva nähdä benchmarkkeja siitä, kuinka suuri vaikutus käytännössä on noille vanhemmille rossuille. Jos tää ivy bridge hidastuu selvästi, niin kai sitä pitää alkaa päivittelemään.