Spectre- ja Meltdown-haavoittuvuuksia on paikattu eri järjestelmissä niin käyttöjärjestelmäpäivityksillä kuin prosessoreiden mikrokoodipäivityksilläkin. Aina kaikki ei mene kuitenkaan niin kuin on suunniteltu, kuten Intelin Spectre-mikrokoodipäivityksen kanssa on käynyt.
Nyt myös Microsoft on reagoinut Intelin ongelmiin Spectre-haavoittuvuuden kakkosvariantin (CVE-2017-5715) kanssa. Yhtiön tukisivuston mukaan se on päättänyt julkaista uuden päivityksen, joka poistaa aiemman käyttöjärjestelmätason paikan Spectren kakkosvariantille Intelin prosessoreilta. Yhtiön mukaan tällä pyritään ehkäisemään Intelin havaitsemia uudelleenkäynnistymisongelmia sillä välin, kun Intel työstää uusia, ongelmattomia mikrokoodiversioita. Päivitys on julkaistu Windows 7 SP1:lle, Windows 8.1:lle ja kaikille Windows 10 -versioille palvelinversiot mukaan lukien.
Tämän lisäksi Microsoft antaa käyttäjille mahdollisuuden ottaa Spectren kakkosvariantin käyttöjärjestelmätason paikka käyttöön tai poistaa se käytöstä rekisterin välityksellä. Microsoft on julkaissut asiasta erillisen ohjeen IT-ammattilaisille sekä palvelinten ylläpitäjille.
Lähde: Microsoft
Meltdown and Spectre security vulnerabilities (huom, ei kait vielä lopullinen lista, päivittyy kai vielä)
Mutta eikös niitä tihulaisia ole todistetusti jo tullut "turvallisten" sivujen mainosten kautta?
Sikäli aivan idioottimainen aukko ettei noin potentiaalisesti väärinkäytettävä ominaisuus saisi olla oletuksena edes päällä. Se pitäisi nyt vähintään olla salasanasuojatun uefi setupin alla omana vipusenaan.
Ja jos yrityksellä on tarve tuhansille koneille AMT:llä niin ne voisi kyllä ostaa koneen toimittajalta sitten esikonffattuina. Mutta joka tapauksessa tuollainen defaultti asetus on ihan älytön.
Sikäli aivan idioottimainen aukko ettei noin potentiaalisesti väärinkäytettävä ominaisuus saisi olla oletuksena edes päällä. Se pitäisi nyt vähintään olla salasanasuojatun uefi setupin alla omana vipusenaan.
Ja jos yrityksellä on tarve tuhansille koneille AMT:llä niin ne voisi kyllä ostaa koneen toimittajalta sitten esikonffattuina. Mutta joka tapauksessa tuollainen defaultti asetus on ihan älytön.
Ei ainakaan Spectre/meltdown-pöpöjä
Ei ainakaan Spectre/meltdown-pöpöjä
Joo ei niitä, IcePen kirjoittelikin ihan yleisesti ja siihen vastasin.
Joo ei niitä, IcePen kirjoittelikin ihan yleisesti ja siihen vastasin.
Omalla Ivy Bridgellä ei ainakaan ole ongelmia, onneksi. Hyvä niin 🙂 :kippis:
Omalla Ivy Bridgellä ei ainakaan ole ongelmia, onneksi. Hyvä niin 🙂 :kippis:
Kuten olikin mainittu, niin ei näiden aukkojen pöpöjä, mutta juu turvallisia sivuja ei ole ollut olemassa pitkään aikaan.
Pankkisivuillakin pamahtaa kaiken maailman 3rd party tms analytiikkaa päälle eli siellä pelkästään pankin palvelimelta ladata dataa. Toki nekin saattavat joutua hyökkäksen alle jne.
Naurattaa aina nämä "surffaan vain turvallisilla sivuilla" heput.
Ja se että et ole havainnut koneella olevan mitään ei pois sulje sitä ettei siellä mitään olisi kuitenkin.
Kuten olikin mainittu, niin ei näiden aukkojen pöpöjä, mutta juu turvallisia sivuja ei ole ollut olemassa pitkään aikaan.
Pankkisivuillakin pamahtaa kaiken maailman 3rd party tms analytiikkaa päälle eli siellä pelkästään pankin palvelimelta ladata dataa. Toki nekin saattavat joutua hyökkäksen alle jne.
Naurattaa aina nämä "surffaan vain turvallisilla sivuilla" heput.
Ja se että et ole havainnut koneella olevan mitään ei pois sulje sitä ettei siellä mitään olisi kuitenkin.
Xeon 1231v3 (Haswell-ws) ei havaittavia ongelmia.
Xeon 1231v3 (Haswell-ws) ei havaittavia ongelmia.
En tiedä onko tämä laitettu jo tänne:
Side-Channel Analysis Facts and Intel® Products
Intelin lista (operating system vendors and system manufacturers) ja linkit sivuille.
En tiedä onko tämä laitettu jo tänne:
Side-Channel Analysis Facts and Intel® Products
Intelin lista (operating system vendors and system manufacturers) ja linkit sivuille.
Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.
Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.
Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.
Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.
Silloin "aikoinaan" niiden käyttisten perussuojan taso oli olematon. Ja taisi olla niinkin, että olivat testausvaiheessa jo vanhentuneita ja reikäisiä käyttiksiä, mutta hyvät lööpithän sellaisesta tietenkin saa.
Silloin "aikoinaan" niiden käyttisten perussuojan taso oli olematon. Ja taisi olla niinkin, että olivat testausvaiheessa jo vanhentuneita ja reikäisiä käyttiksiä, mutta hyvät lööpithän sellaisesta tietenkin saa.
Kyseessä oli täysin eritason reikä:
Käyttis käynnisti asennusvaiheessa reikäisen, nettiä kuuntelevan palvelun, jonka kautta koneelle voi asentaa netistä mitä sattuu.
Nämä tämänhetkiset aukot taas sallivat MUISTIN lukemisen vaivalloisesti, suojauksista riippumatta. Mitään ei siis saada sinänsä asennettua automaattisesti.
Lähinnä uhkakuva on se, että jos sinulla on auki juttuja, joissa on SALASANA, niin kun menet sivulle, jossa on saastutettu mainos, niin se saattaa ehkä mahdollisesti onnistua lukemaan sen toisen palvelun tms salasanan. Eli ei loppupelissä niin mahdoton ongelma…
Yleensäkin turvallisuutta varmasti lisää eniten, jos estät kaikki ylimääräiset scriptit ja mainokset, koska niissä voi olla myös tuntemattomia reikiä hyödyntäviä haitakkeita.. Sivuthan latailevat ulkopuolista sisältöä ympäri nettiä todella rajusti. Huomaa jo ihan siitä, miten lataus nopeutuu selkeästi, kun ylimääräinen paska pistetään blokkiin.
Kyseessä oli täysin eritason reikä:
Käyttis käynnisti asennusvaiheessa reikäisen, nettiä kuuntelevan palvelun, jonka kautta koneelle voi asentaa netistä mitä sattuu.
Nämä tämänhetkiset aukot taas sallivat MUISTIN lukemisen vaivalloisesti, suojauksista riippumatta. Mitään ei siis saada sinänsä asennettua automaattisesti.
Lähinnä uhkakuva on se, että jos sinulla on auki juttuja, joissa on SALASANA, niin kun menet sivulle, jossa on saastutettu mainos, niin se saattaa ehkä mahdollisesti onnistua lukemaan sen toisen palvelun tms salasanan. Eli ei loppupelissä niin mahdoton ongelma…
Yleensäkin turvallisuutta varmasti lisää eniten, jos estät kaikki ylimääräiset scriptit ja mainokset, koska niissä voi olla myös tuntemattomia reikiä hyödyntäviä haitakkeita.. Sivuthan latailevat ulkopuolista sisältöä ympäri nettiä todella rajusti. Huomaa jo ihan siitä, miten lataus nopeutuu selkeästi, kun ylimääräinen paska pistetään blokkiin.
Ero on siinä että toiselta voi suojautua (palomuuri ja virustorjunta), mutta toiselta ei. Bugi jonka kautta voi urkkia tietoa ilman että asiasta jää mitään jälkeä mihinkään. Pahinta se että onnistuu vaikka sen javascriptin kautta.
Kerrohan miksi oikein yrität vähätellä tätä bugia?
Ero on siinä että toiselta voi suojautua (palomuuri ja virustorjunta), mutta toiselta ei. Bugi jonka kautta voi urkkia tietoa ilman että asiasta jää mitään jälkeä mihinkään. Pahinta se että onnistuu vaikka sen javascriptin kautta.
Kerrohan miksi oikein yrität vähätellä tätä bugia?
Ei sitä tarvitse vähätellä. Riittää ettei liioittele.
Ei sitä tarvitse vähätellä. Riittää ettei liioittele.
Nyt on tullut omalle Asuksen emolle päivitys, olettaen "Updated Intel CPU microcode" on ko. päivitys.
MAXIMUS VIII HERO Driver & Tools | Emolevyt | ASUS Suomi
Huom! Päivitys on Hero Alpha emolle, ei "pelkälle" Herolle. Varmaan korjaantuu joskus, mutta tarkista ennen flässäystä.
Nyt on tullut omalle Asuksen emolle päivitys, olettaen "Updated Intel CPU microcode" on ko. päivitys.
MAXIMUS VIII HERO Driver & Tools | Emolevyt | ASUS Suomi
Huom! Päivitys on Hero Alpha emolle, ei "pelkälle" Herolle. Varmaan korjaantuu joskus, mutta tarkista ennen flässäystä.
Mistä näkee eri emojen päivitykset eli onko niitä ylipäätänsä tulossa ja mitä pitää asentaa. Itsellä 1155 pohjainen emo i5-3470 prosessorilla.
Mistä näkee eri emojen päivitykset eli onko niitä ylipäätänsä tulossa ja mitä pitää asentaa. Itsellä 1155 pohjainen emo i5-3470 prosessorilla.
Taitaa olla liian vanha prossu, kuten mulla.
Aivan rajalla ainakin ollaan.
Intel toistaiseksi puhunut vain max 5v vanhojen päivittämisestä. Sen lisäksi riippuu kuinka kauas emolevyjen valmistajat jakelee BIOS päivitystä, ASUS taisi sanoa 5v.
Taitaa olla liian vanha prossu, kuten mulla.
Aivan rajalla ainakin ollaan.
Intel toistaiseksi puhunut vain max 5v vanhojen päivittämisestä. Sen lisäksi riippuu kuinka kauas emolevyjen valmistajat jakelee BIOS päivitystä, ASUS taisi sanoa 5v.
Windows XP:n alkuvuosina tästä on omakohtaista kokemusta. Joskus asensin Windows XP:n tyhjään koneeseen ja annoin olla sen niin kauan aikaa kiinni netissä, että saisin ladattua uudet Service Packin ja paikkaukset, niin kone oli täynnä jotain viruksia ja matoja. Eli se saastui alle varttitunnissa. Muistaakseni kone saastui vieläkin nopeampaa kun tiesin uhasta ja tarkoitus oli pitää kone kiinni netissä niin että ehtisin palomuurin käynnistää kun kone käynnistyy ensimmäistä kertaa asennuksen jälkeen, niin se oli jo täynnä haittaohjelmia.
Ainoa toimiva korjaus oli että latasin Service Packin ISO-tiedostot ja tallensin ne sopivalle medialle. Sitten formatoin kovalevyn ja asensin Windows XP:n uudelleen verkkokaapeli irti ja päivitin siihen uudet Service Packit ja säädin palomuurin.
Onneksi nykyään palomuuri on winukoissa jo oletuksena päälle kun käyttöjärjestelmää asentaa. Ja mukava että uusimmat "Service Packit" ja ajantasaiset paikkaukset sisältävän Windows 10 asennusmedian saa ladattua suoraan Microsoftin sivulta. Service Pack on tuossa lainauksissa kun eihän nykyisessä Windowsissa niitä tunneta enää sillä nimellä vaan julkaisevat kaksi kertaa vuodessa uuden variantin Windows kympistä.
Windows XP:n alkuvuosina tästä on omakohtaista kokemusta. Joskus asensin Windows XP:n tyhjään koneeseen ja annoin olla sen niin kauan aikaa kiinni netissä, että saisin ladattua uudet Service Packin ja paikkaukset, niin kone oli täynnä jotain viruksia ja matoja. Eli se saastui alle varttitunnissa. Muistaakseni kone saastui vieläkin nopeampaa kun tiesin uhasta ja tarkoitus oli pitää kone kiinni netissä niin että ehtisin palomuurin käynnistää kun kone käynnistyy ensimmäistä kertaa asennuksen jälkeen, niin se oli jo täynnä haittaohjelmia.
Ainoa toimiva korjaus oli että latasin Service Packin ISO-tiedostot ja tallensin ne sopivalle medialle. Sitten formatoin kovalevyn ja asensin Windows XP:n uudelleen verkkokaapeli irti ja päivitin siihen uudet Service Packit ja säädin palomuurin.
Onneksi nykyään palomuuri on winukoissa jo oletuksena päälle kun käyttöjärjestelmää asentaa. Ja mukava että uusimmat "Service Packit" ja ajantasaiset paikkaukset sisältävän Windows 10 asennusmedian saa ladattua suoraan Microsoftin sivulta. Service Pack on tuossa lainauksissa kun eihän nykyisessä Windowsissa niitä tunneta enää sillä nimellä vaan julkaisevat kaksi kertaa vuodessa uuden variantin Windows kympistä.
Intel kyllä sai linuxille nämä päivitykset aikas monelle.
Download Linux* Processor Microcode Data File
Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.
Intel kyllä sai linuxille nämä päivitykset aikas monelle.
Download Linux* Processor Microcode Data File
Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.
Katos, tuolta löytyi oma i5-4200U prossu listalta. Juurikin olen "matkalla" Linux Minttiin (Ubuntu oli tuolla listalla eli ilmeisesti tuettu) joten olenko käsittänyt oikein, että jos Acer ei pätsiä jakele (niin kuin näyttää tällä hetkellä, "haavoittuvat koneet" listalla ei ole läppärini mallia, ihme pelleilyä kyllä heilläkin) niin tuon mikrokoodin asentamisella Mintiin ei ole hätää näiden Meltdown+Spectren kanssa? Ainoastaan dual bootissa Windowsin (jotain harvinaista pelihetkeä varten) kanssa Spectre tulisi ongelmaksi?
Katos, tuolta löytyi oma i5-4200U prossu listalta. Juurikin olen "matkalla" Linux Minttiin (Ubuntu oli tuolla listalla eli ilmeisesti tuettu) joten olenko käsittänyt oikein, että jos Acer ei pätsiä jakele (niin kuin näyttää tällä hetkellä, "haavoittuvat koneet" listalla ei ole läppärini mallia, ihme pelleilyä kyllä heilläkin) niin tuon mikrokoodin asentamisella Mintiin ei ole hätää näiden Meltdown+Spectren kanssa? Ainoastaan dual bootissa Windowsin (jotain harvinaista pelihetkeä varten) kanssa Spectre tulisi ongelmaksi?
Oho, tuollahan oli omakin vanha 3930K.
Eli luultavasti mulla kusee Asus, kun tuskin BIOS päivitystä on tiedossa P9X79 Pro emolle…
Huhun mukaan myös Windowsissa voisi ilman BIOS päivitystä ottaa käyttöön, mutta kuulosti jotenkin hazardilta. Plus se kai pitää sitten "ajaa" joka bootissa. Mä en siis tiedä asiasta yhtään, muistan vaan täältä lukeneeni moista.
Oho, tuollahan oli omakin vanha 3930K.
Eli luultavasti mulla kusee Asus, kun tuskin BIOS päivitystä on tiedossa P9X79 Pro emolle…
Huhun mukaan myös Windowsissa voisi ilman BIOS päivitystä ottaa käyttöön, mutta kuulosti jotenkin hazardilta. Plus se kai pitää sitten "ajaa" joka bootissa. Mä en siis tiedä asiasta yhtään, muistan vaan täältä lukeneeni moista.
Tencentin X-Lab on julkaissut muutama päivä sitten Spectre-haavoittuvuustestin nettiselaimille: Spectre Check.
edit: Testi perustuu ilmeisesti SharedArrayBufferin hyödyntämiseen, ja ilmoittaa välittömästi "not vulnerable", jos SharedArrayBuffer ei ole käytettävissä.
Tencentin X-Lab on julkaissut muutama päivä sitten Spectre-haavoittuvuustestin nettiselaimille: Spectre Check.
edit: Testi perustuu ilmeisesti SharedArrayBufferin hyödyntämiseen, ja ilmoittaa välittömästi "not vulnerable", jos SharedArrayBuffer ei ole käytettävissä.
Kyllähän näiden bugien merkitystä tavalliselle käyttäjälle on liioiteltu erittäin suuresti. Ei sitä tarvitse vähätellä vaan lähinnä pistää mittasuhteet kohdalleen.
Kyllähän näiden bugien merkitystä tavalliselle käyttäjälle on liioiteltu erittäin suuresti. Ei sitä tarvitse vähätellä vaan lähinnä pistää mittasuhteet kohdalleen.
Tai pistääkö MS ne windowksen mukana.
Tai pistääkö MS ne windowksen mukana.
Mielenkiintoinen taustoittava juttu bugi(e)n löytymisestä ja kuinka asiaa pidettiin salassa, kun paikkoja valmisteltiin:
How an industry-breaking bug stayed secret for seven months
Mielenkiintoinen taustoittava juttu bugi(e)n löytymisestä ja kuinka asiaa pidettiin salassa, kun paikkoja valmisteltiin:
How an industry-breaking bug stayed secret for seven months
Taisi tänään tulla joku päivitys, kun kahdesti rebootasi kone kesken selaamisen ilman syytä. Assasin creedissä fps 35-45, kun aikaisemmin 42-45. Vähän noin arviota, kun en tietenkään seuraa aktiivisesti. Voi olla toki muukin syy, vaan äkkiseltään menee bugipäivityksen piikkiin.
edit. Eipä näy että olisi mitään päivitystä ladannut.
Taisi tänään tulla joku päivitys, kun kahdesti rebootasi kone kesken selaamisen ilman syytä. Assasin creedissä fps 35-45, kun aikaisemmin 42-45. Vähän noin arviota, kun en tietenkään seuraa aktiivisesti. Voi olla toki muukin syy, vaan äkkiseltään menee bugipäivityksen piikkiin.
edit. Eipä näy että olisi mitään päivitystä ladannut.
Chrome on tuon testin mukaan haavoittuva, Edge ei ole. Eli jos käyttää edgeä niin ei tarvitse olla huolissaan tämmöisellä kannettavalla johon ei näytä tulevan microkoodia?