Jump to content
Sign in to follow this  
Хлоп

Совместимость с патчем для Windows от уязвимости в процессорах Intel

Recommended Posts

1 час назад, Совесть сказал:

Bounds Check Bypass для AMD, как сообщается на официальном сайте тут (первый пункт), полностью исправляется на уровне ОС. Именно поэтому патчи нужно ставить даже если у Вас AMD.

Неверно.
Патчи нужно ставить тем, у кого дырки. У AMD не дырки, а одна дырка, следовательно должен быть один патч, и латать Meltdown, сажая тем самым производительность владельцам процессоров AMD не нужно.
Лично я даже не могу представить, как это может быть непонятно. ;)

Share this post


Link to post
1 минуту назад, regist сказал:

перед тем как предлагать обновления MS проверяет и предлагает только те обновления, которые нужны для этой системы.

Это так должно быть. А как оно есть - посмотрим позже. Будет очень хорошо, если Вы правы, но лично я сомневасюь, что MS выпустит две версии куммулятивного обновления за январь:
https://support.microsoft.com/ru-ru/help/4056894/windows-7-update-kb4056894
отдельно для Intel, в составе Security updates to Windows SMB Server, Windows Kernel,  Microsoft Graphics Component, Internet Explorer, and Windows Graphics, и отдельно для AMD, VIA и остальных, без патча Windows Kernel

Ибо если они это сделают, им придется в дальнейшем поддерживать две разные версии одного ядра для Win 7 и W in 8.1, и соответсвенно выпускать и в дальнейшем разные патчи для разных ядер.
Переход же на Windows 10 с унификацией всего и вся очевидно затевался ровно с обратной целью.

Share this post


Link to post
49 минут назад, Maratka сказал:

и латать Meltdown

Не Meltdown, а Spectre (Bounds Check Bypass).

51 минуту назад, Maratka сказал:

следовательно должен быть один патч

Он и будет один для AMD. У AMD и Intel разные архитектуры, а значит и патчи разные. Даже в центре обновлений видно после его названия "для систем на базе процессоров amd64". У патча для Intel будет своя аббревиатура. Есть так же патчи, которые не зависимы от архитектуры (например некоторые для ядра) и подразделяются лишь на x86 и x64.

Вот одно из недавних обновлений. Если заглянуть в каталог обновлений, то мы увидим, что для Windows 10 существует три варианта одного и того же обновления, но для разных архитектур (для x86 Intel, AMD64 и ARM64).

Те патчи, что есть на данный момент, исправляют проблему на уровне ядра вне зависимости от архитектуры, так как для того чтобы выпустить полноценные патчи для отдельных архитектур, требуется чтобы производители процессоров обновили его прошивку. Intel обещала выпустить обновление прошивки в конце следующей недели. Именно поэтому полноценного исправления для разных архитектур ещё нету.

1 час назад, Maratka сказал:

Ибо если они это сделают, им придется в дальнейшем поддерживать две разные версии одного ядра

Ядро всегда будет одно. Правки ядра, которые вышли сейчас одинаковы для Intel и AMD, поскольку лишь смягчают возможность эксплуатирования на уровне ядра, а не архитектуры.

Итог: полноценного исправления ещё нету, как только Intel и другие вендоры обновят свои прошивки, полноценно изучат возможность взаимодействия их с ОС, тогда и выйдут окончательные заплатки для разных архитектур от Microsoft.

Share this post


Link to post
1 час назад, Совесть сказал:

У AMD и Intel разные архитектуры, а значит и патчи разные. Даже в центре обновлений видно после его названия "для систем на базе процессоров amd64"

Возможно Вы правы кончено, но насколько я в курсе, всякие Intel Core используют самую обычную систему команд от AMD, а потому я как-то сомневаюсь, что "для систем на базе процессоров amd64" не установится и не запустится на Intel'ах.
Например, вот это мне предложили скачать на ноутубке с Core2Duo:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894
И я не вижу ни в сноске, ни где-то еще, что он предназначен только для AMD, или только для Intel, он ОБЩИЙ, и исправляет ту болячку, которой процессоры AMD не болеют.

Share this post


Link to post
4 минуты назад, Maratka сказал:

он ОБЩИЙ

Верно, и вот почему:

1 час назад, Совесть сказал:

Правки ядра, которые вышли сейчас одинаковы для Intel и AMD, поскольку лишь смягчают возможность эксплуатирования на уровне ядра, а не архитектуры.

Но это правки ядра, а не прошивки процессора. Для того, чтобы выпустить разные обновления (для Intel своё, а для AMD своё), нужно чтобы:

1 час назад, Совесть сказал:

производители процессоров обновили его прошивку

Так как на данный момент Intel только готовится это сделать, то так не получится. Есть только правки для ядра (смягчающие, но не полноценные, как я уже говорил).

Но информация об уязвимостях просочилась (о ней должны были коллективно заявить 9 января) и нужно что-то с этим делать. В Microsoft решили выпустить это обновление для ядра (которое по сути программно работает на Intel и AMD). И при этом содержит частичное исправления для всех трёх уязвимостей.

13 минут назад, Maratka сказал:

и исправляет ту болячку, которой процессоры AMD не болеют.

Да, две болячки там лишние. Но третья нет, ей AMD всё же болеют. И если не ставить этот патч сейчас, то для одной болячки двери будут открыты. К тому же там не только исправления этих трёх уязвимостей, но и других проблем.

Итак, как только вендоры выпустят обновлённые прошивки процессоров (увы, но не для всех), Microsoft выпустит полноценные обновления для систем.

В конце должно получится примерно так (но конец ещё не наступил, поскольку то, что есть сейчас, это временное решение):

1 час назад, Совесть сказал:

Вот одно из недавних обновлений. Если заглянуть в каталог обновлений, то мы увидим, что для Windows 10 существует три варианта одного и того же обновления, но для разных архитектур (для x86 Intel, AMD64 и ARM64).

Собственно говоря получилось тоже самое, только с небольшим разбором.

Share this post


Link to post
52 минуты назад, Совесть сказал:

Да, две болячки там лишние. Но третья нет, ей AMD всё же болеют

Следовательно, нужен отдельный фикс для AMD, исправляющий единственную из имеющихся проблем процессоров AMD, а не общий, исправляющий в т.ч. и то, чего исправить на AMD незачем.
Однако как я выше и писал, MS на это вряд-ли пойдет, т.к. это привет к разным ядрам на разных архитектурах, что повлечет дополнительные затраты по дальнейшему сопровождению этих систем. Свалить все обновления в одну кучу  -дешевле, хотя в дальней перспективе вероятно выйдет боком, т.к. вызовет снижение производительности систем Windows Server с AMD EPIC на борту, а значит спровоцирует миграцию части корпоративных клиентов на альтернативные серверные системы с ядром .nix

 

52 минуты назад, Совесть сказал:

Вот одно из недавних обновлений. Если заглянуть в каталог обновлений, то мы увидим, что для Windows 10 существует три варианта одного и того же обновления, но для разных архитектур (для x86 Intel, AMD64 и ARM64).

Разумеется. Но нет разных патчей для x64 Intel и x64 AMD, равно как x86 Intel и x86 AMD,  а значит у систем на AMD будут "благодаря" патчу добавлены лишние, совершенно ничем не обоснованные тормоза.

 

Edited by Maratka

Share this post


Link to post

Кстати, вот что заметил. 

По поводу Spectre CVE-2017-5715 (Branch Target Injection): если патч установлен, но прошивка процессора не обновлена (а на данный момент AMD не планирует её обновлять, поскольку та самая одна уязвимость исправляется патчем ОС) то патч к Meltdown и второму варианту Spectre находится в отключенном состоянии:

Спойлер

status.png.39dd7e977d5406c8046781765a6f89a5.png

Тут видно, что патч представлен ОС (установлен), но сам не функционирует по причине того, что нет Hardware Support (т.е. прошивка процессора не поддерживает сам патч). Получается, что он будет отключен до тех пор, пока не придёт обновление прошивки (а как я уже говорил, на AMD скорее всего не будут его делать). Таким образом решается проблема с совместимостью (патч работает только если он нужен).

На картинке под спойлером выше у человека установлен Intel процессор. У меня же AMD, и вторая часть, которая информирует про CVE-2017-5754 (Rogue Data Cache Load) будет выглядеть так:

Спойлер

meltdown.thumb.png.eff5086f81ef0471b2783adb6caf64de.png

Hardware requires kernel VA shadowing: False (что переводится примерно так: Аппаратная часть требует скрытия VA в ядре: Нет.) 

Предполагаю, что после установки патча эта функция так же не будет функционировать, нежели как на скриншоте с Intel где она должна работать, так как процессор подвержен этой уязвимости.

Если это действительно так, то получается, что патч будет работать только там, где он будет необходим. Но при этом его установка всё равно производится в штатном порядке.

Share this post


Link to post
47 минут назад, Совесть сказал:

ут видно, что патч представлен ОС (установлен), но сам не функционирует по причине того, что нет Hardware Support (т.е. прошивка процессора не поддерживает сам патч).

Вы имеете в виду AGESA?

Share this post


Link to post
48 минут назад, Совесть сказал:

Если это действительно так, то получается, что патч будет работать только там, где он будет необходим. Но при этом его установка всё равно производится в штатном порядке.

Если так - то нет вопросов. Тогда получаем единое ядро ОС, но разный его функционал в зависимости от..., и как следствие -отсутствие просадика производительности на процессорах AMD. Что собственно говоря и требуется.
Но это - если все действительно так, как Вы и описали.

Share this post


Link to post

Maratka Только что установил патч. Получил то, что и ожидали:

Спойлер

LpgghWb.png

Похоже всё действительно так, как я описал (патч работает только тогда, когда он нужен). Собственно это же действительно логично :lol:.

Ну вот, теперь можно ставить обновления и не бояться лишнего ;). По первым ощущениям изменения в производительности на глаз совсем не заметил, хотя тут на глаз наверно не лучшая идея мерить.

Share this post


Link to post
11 минут назад, Совесть сказал:

По первым ощущениям изменения в производительности на глаз совсем не заметил, хотя тут на глаз наверно не лучшая идея мерить.

IMHO, мерить нужно синтетикой, вроде простенькой утилиты, где оболочка дает команду драйверу, а драйвер считает... ну пусть будет n++, и все это хозяйство оформлено в цикле, скажем на десяток миллиардов проходов.
Соответственно результатом будет количество операций сложения в единицу времени, а учитывая что собственно сама операция сложения будет проходить мгновенно в отличии от взаимодействия между уровнями процессора, полученный результат замедления (ежели оно вообще будет) - будет является неким пиковым значением.
Еще раз: все что выше - IMHO, могу ошибаться, т.к. не знаю ни в чем суть аппаратной ошибки, ни способ ее программного закрытия. Все что знаю - "болото" с форумов.

Edited by Maratka

Share this post


Link to post

Ребзя, я нуп, поясните плезир в 2х словах, если не трудно. У меня интел. Чтобы работала защита нужно обновлять биос как обычно это делают через флешку на материнку ?  Но ведь я уверен, что 90% мира биос не обновляют и получается люди в основном без защиты будут все равно, большинство наверное вообще не слышали про эти уязвимости и пользуются автоматическим обновлением винды без их пристального присмотра, что там происходит в мире компьютеров....

Share this post


Link to post

В двух словах - ничего не нужно делать. Нужно только не  отключать автоматические обновления системы.

Share this post


Link to post
5 минут назад, Денис-НН сказал:

Нужно только не  отключать автоматические обновления системы.

Отключать - это тоже что-то делать. :)
Потому в чистом виде остается первая часть предложения:

6 минут назад, Денис-НН сказал:

В двух словах - ничего не нужно делать

 

Share this post


Link to post
22 часа назад, Совесть сказал:

Только что установил патч. Получил то, что и ожидали:

У меня почему-то данная команда в PowerShell не работает, обновление установилось с первого раза, может есть какой-то секрет как запускать данную команду?

Share this post


Link to post

serkor1983 Так как этот модуль из стороннего репозитория, то для начала нужно отключить политику безопасности PowerShell следующей командой (потом можно будет вернуть обратно):

Set-ExecutionPolicy Bypass

Затем установить сам модуль:

Install-Module SpeculationControl

Затем уже запустить:

Get-SpeculationControlSettings

После того как поиграетесь, советую включить политику безопасности PowerShell обратно следующей командой:

Set-ExecutionPolicy Restricted

Вот и весь "секрет".

Edited by Совесть

Share this post


Link to post

Так что, если я этот патч не установлю, Касперский сможет самостоятельно от угроз этой уязвимости защитить или нет?

Share this post


Link to post
8 минут назад, gaspar19 сказал:

И монитор активности не поможет?

Не стоит в общем случае надеяться на антивирусное ПО. Если говорить про конкретные случаи в будущем — думаю, что они смогут определять ПО, о котором так или иначе стало известно об эксплуатации уязвимостей. Но на практике всё гораздо сложнее. А патчи нужно ставить обязательно, золотое правило.

Share this post


Link to post
1 час назад, gaspar19 сказал:

И монитор активности не поможет?

Будет сигнатура - поможет, не будет - не поможет.
Относится ко всем компонентам всех антивирусов всех производителей для всех операционных систем.

Share this post


Link to post

У меня на одном компе не приходит это обновление на Windows 10 FCU.

 

Уже даже свежие сегодняшние мелкие обновления пришли а того нет. Подозреваю KIS 2018 и его борьбу с Windows Defender, но доказать не могу т.к. лень удалять KIS и потом заново ставить а по другому у меня не получается включить только Windows Defender - он все время KIS тормошит и отказывается сам по себе работать.

Share this post


Link to post

Sandy Bridge i7 точно но не помню 2500k или 2600k

Intel!

Edited by Хлоп

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.