Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

[sm81]

Mistä näkee eri emojen päivitykset eli onko niitä ylipäätänsä tulossa ja mitä pitää asentaa. Itsellä 1155 pohjainen emo i5-3470 prosessorilla.

 

[TML]

Mistä näkee eri emojen päivitykset eli onko niitä ylipäätänsä tulossa ja mitä pitää asentaa. Itsellä 1155 pohjainen emo i5-3470 prosessorilla.

Taitaa olla liian vanha prossu, kuten mulla.
Aivan rajalla ainakin ollaan.
Intel toistaiseksi puhunut vain max 5v vanhojen päivittämisestä. Sen lisäksi riippuu kuinka kauas emolevyjen valmistajat jakelee BIOS päivitystä, ASUS taisi sanoa 5v.

 

[Lucas]

Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.

Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.

Windows XP:n alkuvuosina tästä on omakohtaista kokemusta. Joskus asensin Windows XP:n tyhjään koneeseen ja annoin olla sen niin kauan aikaa kiinni netissä, että saisin ladattua uudet Service Packin ja paikkaukset, niin kone oli täynnä jotain viruksia ja matoja. Eli se saastui alle varttitunnissa. Muistaakseni kone saastui vieläkin nopeampaa kun tiesin uhasta ja tarkoitus oli pitää kone kiinni netissä niin että ehtisin palomuurin käynnistää kun kone käynnistyy ensimmäistä kertaa asennuksen jälkeen, niin se oli jo täynnä haittaohjelmia.

Ainoa toimiva korjaus oli että latasin Service Packin ISO-tiedostot ja tallensin ne sopivalle medialle. Sitten formatoin kovalevyn ja asensin Windows XP:n uudelleen verkkokaapeli irti ja päivitin siihen uudet Service Packit ja säädin palomuurin.

Onneksi nykyään palomuuri on winukoissa jo oletuksena päälle kun käyttöjärjestelmää asentaa. Ja mukava että uusimmat "Service Packit" ja ajantasaiset paikkaukset sisältävän Windows 10 asennusmedian saa ladattua suoraan Microsoftin sivulta. Service Pack on tuossa lainauksissa kun eihän nykyisessä Windowsissa niitä tunneta enää sillä nimellä vaan julkaisevat kaksi kertaa vuodessa uuden variantin Windows kympistä.

 

[Tege]

Mistä näkee eri emojen päivitykset eli onko niitä ylipäätänsä tulossa ja mitä pitää asentaa. Itsellä 1155 pohjainen emo i5-3470 prosessorilla.

Intel kyllä sai linuxille nämä päivitykset aikas monelle.

Download Linux* Processor Microcode Data File

Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.

 

[TenderBeef]

Intel kyllä sai linuxille nämä päivitykset aikas monelle.

Download Linux* Processor Microcode Data File

Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.

Katos, tuolta löytyi oma i5-4200U prossu listalta. Juurikin olen "matkalla" Linux Minttiin (Ubuntu oli tuolla listalla eli ilmeisesti tuettu) joten olenko käsittänyt oikein, että jos Acer ei pätsiä jakele (niin kuin näyttää tällä hetkellä, "haavoittuvat koneet" listalla ei ole läppärini mallia, ihme pelleilyä kyllä heilläkin) niin tuon mikrokoodin asentamisella Mintiin ei ole hätää näiden Meltdown+Spectren kanssa? Ainoastaan dual bootissa Windowsin (jotain harvinaista pelihetkeä varten) kanssa Spectre tulisi ongelmaksi?

 

[TML]

Intel kyllä sai linuxille nämä päivitykset aikas monelle.

Download Linux* Processor Microcode Data File

Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.

Oho, tuollahan oli omakin vanha 3930K.
Eli luultavasti mulla kusee Asus, kun tuskin BIOS päivitystä on tiedossa P9X79 Pro emolle...

Huhun mukaan myös Windowsissa voisi ilman BIOS päivitystä ottaa käyttöön, mutta kuulosti jotenkin hazardilta. Plus se kai pitää sitten "ajaa" joka bootissa. Mä en siis tiedä asiasta yhtään, muistan vaan täältä lukeneeni moista.

 

[Atorox]

Tencentin X-Lab on julkaissut muutama päivä sitten Spectre-haavoittuvuustestin nettiselaimille: Spectre Check.

If the result is VULNERABLE, it is definitely true. However, if the result is NOT VULNERABLE, it doesn't mean your browser is absolutely not vulnerable because there might be other unknown attacking methods.

edit: Testi perustuu ilmeisesti SharedArrayBufferin hyödyntämiseen, ja ilmoittaa välittömästi "not vulnerable", jos SharedArrayBuffer ei ole käytettävissä.

 

[Griffin]

Ero on siinä että toiselta voi suojautua (palomuuri ja virustorjunta), mutta toiselta ei. Bugi jonka kautta voi urkkia tietoa ilman että asiasta jää mitään jälkeä mihinkään. Pahinta se että onnistuu vaikka sen javascriptin kautta.

Kerrohan miksi oikein yrität vähätellä tätä bugia?

Kyllähän näiden bugien merkitystä tavalliselle käyttäjälle on liioiteltu erittäin suuresti. Ei sitä tarvitse vähätellä vaan lähinnä pistää mittasuhteet kohdalleen.

 

[Griffin]

Intel kyllä sai linuxille nämä päivitykset aikas monelle.

Download Linux* Processor Microcode Data File

Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.

Tai pistääkö MS ne windowksen mukana.

 

[halcyon]

Mielenkiintoinen taustoittava juttu bugi(e)n löytymisestä ja kuinka asiaa pidettiin salassa, kun paikkoja valmisteltiin:

How an industry-breaking bug stayed secret for seven months

 

[Millennium edition]

Taisi tänään tulla joku päivitys, kun kahdesti rebootasi kone kesken selaamisen ilman syytä. Assasin creedissä fps 35-45, kun aikaisemmin 42-45. Vähän noin arviota, kun en tietenkään seuraa aktiivisesti. Voi olla toki muukin syy, vaan äkkiseltään menee bugipäivityksen piikkiin.

edit. Eipä näy että olisi mitään päivitystä ladannut.

 

[spastinen]

Chrome on tuon testin mukaan haavoittuva, Edge ei ole. Eli jos käyttää edgeä niin ei tarvitse olla huolissaan tämmöisellä kannettavalla johon ei näytä tulevan microkoodia?

 

[Fenotype]

chromeen piti manuaalisesti laittaa joku asetus
näyttää chromella kun kokeilen not vulnerable
mutta eihän meltdown/specter ole kuin jäävuoren huippy...

 

[Tege]

Oho, tuollahan oli omakin vanha 3930K.
Eli luultavasti mulla kusee Asus, kun tuskin BIOS päivitystä on tiedossa P9X79 Pro emolle...

Huhun mukaan myös Windowsissa voisi ilman BIOS päivitystä ottaa käyttöön, mutta kuulosti jotenkin hazardilta. Plus se kai pitää sitten "ajaa" joka bootissa. Mä en siis tiedä asiasta yhtään, muistan vaan täältä lukeneeni moista.

Onhan tuo mahdollista kun Intel/MS ajoi sen koodin millä poistettiin non-K prossuilta kellotusmahdollisuus. Linuxissahan tämä ajetaan joka kerta bootissa ja jos ymmärsin niin se tapahtuu ennen kernelin ajoa tjsp. Windowsissa uskoisin olevan sama mahdollisuus mutta se on eri asia miten se halutaan tehdä jos halutaan. Parashan se olisi jos päivitys tulisi suoraan emolle.

chromeen piti manuaalisesti laittaa joku asetus
näyttää chromella kun kokeilen not vulnerable
mutta eihän meltdown/specter ole kuin jäävuoren huippy...

Tämä muuttuu helmikuussa kun Chromen kovennettu versio tulee ulos. Toki varmaan jo betana saatavissa.

 

[Kaotik]

Taisi tänään tulla joku päivitys, kun kahdesti rebootasi kone kesken selaamisen ilman syytä. Assasin creedissä fps 35-45, kun aikaisemmin 42-45. Vähän noin arviota, kun en tietenkään seuraa aktiivisesti. Voi olla toki muukin syy, vaan äkkiseltään menee bugipäivityksen piikkiin.

edit. Eipä näy että olisi mitään päivitystä ladannut.

Intel on ilmoittanut jo että Broadwell- ja Haswell-kokoonpanot kärsivät odottamattomista rebooteista (tämänhetkisillä pätseillä) pätsättyinä, niin kuluttajapuolella kuin datakeskuksissakin.
PC-speksit-listauksesi mukaan sinulla on Haswell siellä

 

[TML]

Tencentin X-Lab on julkaissut muutama päivä sitten Spectre-haavoittuvuustestin nettiselaimille: Spectre Check.

edit: Testi perustuu ilmeisesti SharedArrayBufferin hyödyntämiseen, ja ilmoittaa välittömästi "not vulnerable", jos SharedArrayBuffer ei ole käytettävissä.

Chrome on tuon testin mukaan haavoittuva, Edge ei ole. Eli jos käyttää edgeä niin ei tarvitse olla huolissaan tämmöisellä kannettavalla johon ei näytä tulevan microkoodia?

chromeen piti manuaalisesti laittaa joku asetus
näyttää chromella kun kokeilen not vulnerable
mutta eihän meltdown/specter ole kuin jäävuoren huippy...

Not vulnerable mulla tulee Chromella.
Laitoin käsin päälle strict site isolation asetuksen, kun Google niin ehdotti kunnes toi päivitys tulee 23.1.
Täällä infoa (Google Chrome Browser kohdassa): Product Status - Google Help

Toki kuten sanottiin, "not vulnerable" ei tarkoita sitä että on suojattu.

 

[Latvus]

Asensin Lenovon julkaiseman BIOS päivityksen, jossa Intelin mikrokoodipäivitys. Onko nyt niin, että yhdessä Windows 10 Meltdown patchin kanssa voin taputella tämän osaltani ja jatkaa elämää?

 

[TML]

Asensin Lenovon julkaiseman BIOS päivityksen, jossa Intelin mikrokoodipäivitys. Onko nyt niin, että yhdessä Windows 10 Meltdown patchin kanssa voin taputella tämän osaltani ja jatkaa elämää?

Pitkälti joo, hyväksikäyttämisen vaikeuden vuoksi.
Käsittääkseni kun toista Spectre varianttia vastaan ainoa täysi suoja on täysin uusi arkkitehtuuri prosessorissa. Eli tällä hetkellä mahdotonta suojautua kokonaan.

 

[Tege]

Asensin Lenovon julkaiseman BIOS päivityksen, jossa Intelin mikrokoodipäivitys. Onko nyt niin, että yhdessä Windows 10 Meltdown patchin kanssa voin taputella tämän osaltani ja jatkaa elämää?

Korjaan tuon Variant 2 eli toisen Spectren, Windows patchi korjaa Variant 1 (Spectre) ja Variant 3:n (Meltdown). Toki tuo mikrokoodi vaikuttaa mahdollisesti näihin kaikkiin Intelin osalta.

 

[Obi-Lan]

chrome://flags/#enable-site-per-process

Käsittääkseni "Strict site isolation" on se mikä Chromeen pitää laittaa päälle. Tencent testi sanoo, että ei ole haavoittuvainen, tosin koitin ottaa kokeeksi pois päältä ja silti sanoo ettei ole haavoittuvainen..

 

[nuumio]

Intel kyllä sai linuxille nämä päivitykset aikas monelle.

Download Linux* Processor Microcode Data File

Jotenka nythän tuo on enää Windows maailmassa kyse siitä tekeekö emovalmistaja uuden biossin.

Intelin Linuxille tarjoama mikrokoodifile sisältää mikrokoodin kaikille Intelin prossuille. Siinä on siis tässä tapauksessa paikkaamattomille prossuille joku vanha mikrokoodi. Riemastuin ensin itsekin, kun parin vanhan läppärin prossut löytyi listalta. Harmittava totuus paljastui, kun päivitysohjeita googlatessa tajusin tuon ja sisäistin Intelin oman kuvauksen lataussivulta.

Detailed Description
Purpose

This microcode data file contains the latest microcode definitions for all Intel processors.

Mun läppäreiden Ubuntuissa (16.04 ja 17.10) intel-microcode paketti näytti olevankin jo asennettuna ja päivittyneen uusimpaan. Pettymyksen varmistaakseni ajoin vielä tarkistuksen näitä ohjeita mukaillen: How to update Intel microcode properly?

$ cat /proc/cpuinfo | egrep "model name|bugs" | head -2
model name      : Intel(R) Core(TM) i3-2367M CPU @ 1.40GHz
bugs            : cpu_insecure

$ iucode_tool -K/tmp/micro microcode.dat
iucode_tool: Writing microcode firmware file(s) into /tmp/micro

$ iucode_tool -tb -lS /tmp/micro
iucode_tool: system has processor(s) with signature 0x000206a7
microcode bundle 1: /tmp/micro/06-0e-0c
## [leikkasin bundleja pois] ##
microcode bundle 94: /tmp/micro/06-3e-07
selected microcodes:
  038/001: sig 0x000206a7, pf_mask 0x12, 2013-06-12, rev 0x0029, size 10240

$ dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x29, date = 2013-06-12
[    2.199526] microcode: sig=0x206a7, pf=0x10, revision=0x29
[    2.199604] microcode: Microcode Update Driver: v2.2.

$ apt list --installed 2>/dev/null | grep intel-microcode
intel-microcode/artful-updates,artful-security,now 3.20180108.0~ubuntu17.10.1 amd64 [installed,automatic]

Uusin mikrokoodi vuodelta 2013 on käytössä ja kernelikin on sitä mieltä, että CPU on insecure

 

[Tege]

Intelin Linuxille tarjoama mikrokoodifile sisältää mikrokoodin kaikille Intelin prossuille. Siinä on siis tässä tapauksessa paikkaamattomille prossuille joku vanha mikrokoodi. Riemastuin ensin itsekin, kun parin vanhan läppärin prossut löytyi listalta. Harmittava totuus paljastui, kun päivitysohjeita googlatessa tajusin tuon ja sisäistin Intelin oman kuvauksen lataussivulta.


Mun läppäreiden Ubuntuissa (16.04 ja 17.10) intel-microcode paketti näytti olevankin jo asennettuna ja päivittyneen uusimpaan. Pettymyksen varmistaakseni ajoin vielä tarkistuksen näitä ohjeita mukaillen: How to update Intel microcode properly?

$ cat /proc/cpuinfo | egrep "model name|bugs" | head -2
model name      : Intel(R) Core(TM) i3-2367M CPU @ 1.40GHz
bugs            : cpu_insecure

$ iucode_tool -K/tmp/micro microcode.dat
iucode_tool: Writing microcode firmware file(s) into /tmp/micro

$ iucode_tool -tb -lS /tmp/micro
iucode_tool: system has processor(s) with signature 0x000206a7
microcode bundle 1: /tmp/micro/06-0e-0c
## [leikkasin bundleja pois] ##
microcode bundle 94: /tmp/micro/06-3e-07
selected microcodes:
  038/001: sig 0x000206a7, pf_mask 0x12, 2013-06-12, rev 0x0029, size 10240

$ dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x29, date = 2013-06-12
[    2.199526] microcode: sig=0x206a7, pf=0x10, revision=0x29
[    2.199604] microcode: Microcode Update Driver: v2.2.

$ apt list --installed 2>/dev/null | grep intel-microcode
intel-microcode/artful-updates,artful-security,now 3.20180108.0~ubuntu17.10.1 amd64 [installed,automatic]

Uusin mikrokoodi vuodelta 2013 on käytössä ja kernelikin on sitä mieltä, että CPU on insecure

No voihan damn. No sitten tämä 5v on totuus mikä pitää kestää.

 

[TML]

chrome://flags/#enable-site-per-process

Käsittääkseni "Strict site isolation" on se mikä Chromeen pitää laittaa päälle. Tencent testi sanoo, että ei ole haavoittuvainen, tosin koitin ottaa kokeeksi pois päältä ja silti sanoo ettei ole haavoittuvainen..

Käynnistitkö Chrome välissä uusiksi? Tuon asetuksen vaihtaminen kun vaatii sen.

 

[Obi-Lan]

Käynnistitkö Chrome välissä uusiksi? Tuon asetuksen vaihtaminen kun vaatii sen.

Joo, mutta silti sanoo että not vulnerable.

 

[JiiPee]

Jos Ryzen 2 takaa nykyisin hasswell tason yhden säikeen tehon kelloineen päivineen niin menee varmaan nää intelin rojut vaihtoon.

offtopikkiin menee mutta..
Jos en väärin muista niin nykyisten Ryzen prosessoreiden IPC on hiukan parempi kuin haswell.

Moniin vanhempiin järjestelmiin ei tule tämän korjaavaa BIOS päivitystä joten saatiin nyt näppärästi lisää kauppaa aikaiseksi?

Kyllähän sen näinkin voi tulkita että ei Intelillä välttämättä ole hinkua hoputtaa laitevalmistajia ainakaan kotipuolella paikkaamaan tätä.

Silloin "aikoinaan" niiden käyttisten perussuojan taso oli olematon. Ja taisi olla niinkin, että olivat testausvaiheessa jo vanhentuneita ja reikäisiä käyttiksiä, mutta hyvät lööpithän sellaisesta tietenkin saa.

No kyllä se aika aikoinaan oli kun winxp:tä asenneltiin ja siihen service packejä. Tuossa joku jo ehtikin asiasta mainita, jos se puhas xp asennus sai olla julkisen IP:n kautta netissä, niin eipä siihen montaa minuuttia mennyt kun se oli ryönää täynnä.

 

[Johan_V]

Intelin Linuxille tarjoama mikrokoodifile sisältää mikrokoodin kaikille Intelin prossuille. Siinä on siis tässä tapauksessa paikkaamattomille prossuille joku vanha mikrokoodi. Riemastuin ensin itsekin, kun parin vanhan läppärin prossut löytyi listalta. Harmittava totuus paljastui, kun päivitysohjeita googlatessa tajusin tuon ja sisäistin Intelin oman kuvauksen lataussivulta.


Mun läppäreiden Ubuntuissa (16.04 ja 17.10) intel-microcode paketti näytti olevankin jo asennettuna ja päivittyneen uusimpaan. Pettymyksen varmistaakseni ajoin vielä tarkistuksen näitä ohjeita mukaillen: How to update Intel microcode properly?

Uusin mikrokoodi vuodelta 2013 on käytössä ja kernelikin on sitä mieltä, että CPU on insecure

Prosessorille 5960x oli päivitys tuossa mikrokooditiedostossa, versio 0x38->0x3b, mutta molemmissa päiväys 2017-11-17. Testin mukaan tuo microkoodi ei kuitenkaan sisällä spectre-suojausta:

Checking for vulnerabilities against running kernel Linux 4.14.12-gentoo #1 SMP Sun Jan 7 20:06:19 EET 2018 x86_64
CPU is Intel(R) Core(TM) i7-5960X CPU @ 3.00GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 21 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Pitänee asennella nuo retpoline patchit kerneliin ja kääntäjään kunhan ehtii.

 

[halcyon]

Opera v.51.0.2830.2 (64-bit, viimeisin) antaa W10/64 (pätsätty Windows, ei pätsätty BIOS/mikrokoodi) tuloksen:

Tämä vaikka Operasta päällä säädöt (opera://flags):

Strict site isolation=ENABLED (#enable-site-per-process=1)
Top document isolation=ENABLED (#enable-top-document-isolation=1)

Eli Opera on ainakin haavoittuva (Spectre) vielä nykyversiossaan.

 

[mRkukov]

Näin, vaikka selain olisi haavoittuva. Tyhmä testi.

Tuossa pitäisi siis lukea että "Your system is not vulnerable through this browser". Haavoittuvuushan ei ole mikään selaimen haavoittuvuus, vaan prossun!

 

[lxmo]

Asentelin tuossa muutama päivä takaperin Windowsin (8.1) uusimmat tietoturvapäivitykset (joukossa oli myös Intelin päivitys) ja kaikki selaimeni antavat tulokseksi "Not vulnerable" (IE, Firefox & Opera Neon (<- perustuu Chromiumiin))

 

[aina oikeassa]

Joku heitti redditin puolella, että lataa Intelin sivuilta uusimman mikrokoodin (joka on kyllä Linuxiin tarkoitettu vaikka sama se taitaa olla Windowsillekin?) ja esim. VMware CPU Microcode Driver:lla laittaa sen sisään. Itsellä ei ole tietotaitoa tarpeeksi, että voisin sanoa onko tuo turvallista tai järkevää, enkä itse ole tuota uskaltanut vielä kokeilla, joku paremmin asiasta tietävä voisi valaista hieman.

Tuolta mikrokoodi:
Download Linux* Processor Microcode Data File

Tuolla se sisään:
VMware CPU Microcode Update Driver

Ilmeisesti tuo VMwaren systeemi asentaa sen aina bootissa, että se pitää olla siis asennettuna aina?

Tosiaan en voi suositella tekemään tuota, kun en tiedä mahdollisia seurauksia, enkä ota mitään vastuuta, jos prossusta tulee entinen. En edes tiedä antaako tuo päivitetty mikrokoodi vanhemmille prossuille mitään uutta.

Koitin hieman ATK-harrastaa mielenrauhani vuoksi tämän kommentin innoittamana. Prosessorina Xeon E3-1230-V3 ja emolevynä ASrock H87 Pro4. BIOS-päivitystä tähän tuskin enää tulee, tai ainakaan kovinkaan nopealla aikataululla.

VMwaren mikrokoodin päivitystyökalulla onnistuu kyllä mikrokoodin päivitys (versioon 23, 20-11-2017), mutta Windows kerkeää ladata kernelinsä käynnistysvaiheessa ennen mikrokoodia, ja hylätä Spectre-/Meltdown-paikan käyttöönoton.

Koitin saada mikrokoodin latautumista aikaistettua muuttamalla parametreja StartType=0x2 -> 0x1 -> 0x0 (0x0:lla ei käynnisty enää), LoadOrderGroup=Extended Base -> Base -> SCSI Class -> WdfLoadGroup, mutta mikrokoodi ei lataudu tarpeeksi ajoissa. Get-SpeculationControlSettingsillä näkee, että laitteisto- ja ohjelmistotuki kyllä paikalle löytyy:

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
...

Koska mikrokoodi näytti olevan korjattua versiota, modasin sen suoraan ASrockin viimeisimpään viralliseen biokseen ja päivitin emolevylle. Toimenpide ei ole kovin monimutkainen, mutta sitäkin jännittävämpi. Todellinen ATK-harrastaja pääsee näillä ohjeilla liikkeelle. Ei sovellu aloittelijalle eikä edes edistyneemmälle, vaan tiedät mitä teet -tyypille.

[Guide] How to flash a modded ASUS/ASRock/Gigabyte AMI UEFI BIOS
[Tool Guide+News] "UEFI BIOS Updater" (UBU)

Lopputuloksena mielenrauhani on astetta tyynempi:

 

[TML]

Näin, vaikka selain olisi haavoittuva. Tyhmä testi.

Toki, mutta jos testi on oikein selaimen kohdalla on sekin tieto ihan jees.
Kuitenkin selaimen kautta tehtäviä aukon hyödyntämisiä pitää pelätä eniten.

 

[japau]

Ashampoo® Spectre Meltdown CPU Checker

Ihan prohvessionaalisen näkönen security check tool.

 

[Jouska]

Nyt on tullut omalle Asuksen emolle päivitys, olettaen "Updated Intel CPU microcode" on ko. päivitys.

MAXIMUS VIII HERO Driver & Tools | Emolevyt | ASUS Suomi

Oletko koittanut päivittää? Mulla sanoo EzFlash utility, että "not a proper BIOS file". Onkohan tuo kuitenkaan oikea file Maximus VIII Herolle (ilman ALPHAA), kun on tiedosto nimetty "MAXIMUS-VIII-HERO-ALPHA-ASUS-3703"..?

 

[mRkukov]

Ashampoo® Spectre Meltdown CPU Checker

Ihan prohvessionaalisen näkönen security check tool.

Random sivuilta löytyviä testejä on aina hieman epäilyttävää ajella. Ei siis liity tähän linkkiin vaan yleisesti tietoturva"testeihin".

 

[TenderBeef]

Intelin Linuxille tarjoama mikrokoodifile sisältää mikrokoodin kaikille Intelin prossuille. Siinä on siis tässä tapauksessa paikkaamattomille prossuille joku vanha mikrokoodi. Riemastuin ensin itsekin, kun parin vanhan läppärin prossut löytyi listalta. Harmittava totuus paljastui, kun päivitysohjeita googlatessa tajusin tuon ja sisäistin Intelin oman kuvauksen lataussivulta.


Mun läppäreiden Ubuntuissa (16.04 ja 17.10) intel-microcode paketti näytti olevankin jo asennettuna ja päivittyneen uusimpaan. Pettymyksen varmistaakseni ajoin vielä tarkistuksen näitä ohjeita mukaillen: How to update Intel microcode properly?

$ cat /proc/cpuinfo | egrep "model name|bugs" | head -2
model name      : Intel(R) Core(TM) i3-2367M CPU @ 1.40GHz
bugs            : cpu_insecure

$ iucode_tool -K/tmp/micro microcode.dat
iucode_tool: Writing microcode firmware file(s) into /tmp/micro

$ iucode_tool -tb -lS /tmp/micro
iucode_tool: system has processor(s) with signature 0x000206a7
microcode bundle 1: /tmp/micro/06-0e-0c
## [leikkasin bundleja pois] ##
microcode bundle 94: /tmp/micro/06-3e-07
selected microcodes:
  038/001: sig 0x000206a7, pf_mask 0x12, 2013-06-12, rev 0x0029, size 10240

$ dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x29, date = 2013-06-12
[    2.199526] microcode: sig=0x206a7, pf=0x10, revision=0x29
[    2.199604] microcode: Microcode Update Driver: v2.2.

$ apt list --installed 2>/dev/null | grep intel-microcode
intel-microcode/artful-updates,artful-security,now 3.20180108.0~ubuntu17.10.1 amd64 [installed,automatic]

Uusin mikrokoodi vuodelta 2013 on käytössä ja kernelikin on sitä mieltä, että CPU on insecure

Ööö *sormi suussa* mitäs tämä nyt sitten meinaa? Eikö tuo microcode nyt ollutkaan toimiva? Sori, ei vaan osaamistaso riitä ymmärtämään mitä tässä nyt oikein sanottiin.

 

[Johan_V]

Ööö *sormi suussa* mitäs tämä nyt sitten meinaa? Eikö tuo microcode nyt ollutkaan toimiva? Sori, ei vaan osaamistaso riitä ymmärtämään mitä tässä nyt oikein sanottiin.

Eli tuo Intelin mikrokoodipäivitys ei sisältänyt päivitystä kyseiselle prosessorille.

 

[aiwan]

No voihan damn. No sitten tämä 5v on totuus mikä pitää kestää.

No eiköhän tässä kannata odotella vielä ihan rauhassa. Intelin tavoite oli tällä viikolla hoitaa 90% alle 5v vanhoista prossuista ja vanhempia sitä mukaa kun ehtivät ja priorisoivat. Sen verran megaluokan bugista on kyse, että ihmettelisin jos ei jossain vaiheessa sandyt ja ivyt (ja miksei vanhemmatkin) tulis mukaan korjausten piiriin.

LÄHDE: Intel's Security-First Pledge

 

[J-Man]

Oletko koittanut päivittää? Mulla sanoo EzFlash utility, että "not a proper BIOS file". Onkohan tuo kuitenkaan oikea file Maximus VIII Herolle (ilman ALPHAA), kun on tiedosto nimetty "MAXIMUS-VIII-HERO-ALPHA-ASUS-3703"..?

Tänään otin tuon työn alle ja ei onnistunut päivitys. Mitä pikaisesti googletin, niin ilmeisesti ASUS sössinyt, tuo on nimenomaan Hero Alpha:lle.
Onneksi ei suostunut päivittämään, olis voinut mennä solmuun

 

[runboy93]

Raspberry Pi Pi 3 Premium Kit - 79,00€

Hyvin menee näköjään kaupaksi D:

 

[zak69]

Oma kolmen markan kommenttini koko hiton rumbasta.........

Eksyin tähän ketjuun, päivitin biosin sekä OS:n kun olivat heti saatavilla. (Asus Prime Z370-P, i3 8350k)
Suorituskyky ei alentunut juurikaan oleellisesti, samaa ei voi vakaudesta.
Aivan käsittämätöntä kaatuilua softista ja työpöydältäkin, buuttilooppeja jne jne......aivan käyttökelvoton siinä tilassa koko kone.
Eipä auttanut kuin päivittää bios vanhempaan, ja nyt tällä pystyy jo jotain tekemäänkin.
Summa summarum......seuraavaksi kun romut vaihdan niin se on leirin vaihto, sen verran nosti verenpainetta useaan otteeseen.

 

[TenderBeef]

Kyselin Acerin supportilta, että miksihän heidän haavoittuvuus-sivulla ei ole vieläkään omaa konemallia jossa i5-4200U prosessori. Vastasivat:

Acerille tiedot tulevat prosessorivalmistajilta, tätä kirjoittaessa Intel ei ole listannut koneessanne olevaa prosessoria turvallisuusraporteissaan Intel® Product Security Center

Intelin tuolla sivustostolla on kuitenkin listattuna "4th generation Intel® Core™ processors" ja minun "Core i5-4200U" prosessori löytyy Intelin omalta "4th Generation Intel® Core™ i5 Processors" sivulta.

Ihan käsittämätöntä soopaa taas Acerilta, sekä supportilta, että miten väärää tietoa antavat haavoittuvat koneet sivullaan.

Veikkaanpa, että jos tarkistaisin ne listatut konemallit tuolta Acerin sivuilta, niin ne kaikki olisivat vain esim. 2-3 vuotta vanhoja, eli luulenpa, että yrittävät päästä mahdollisimman vähällä tästä tapauksesta ja tukea vain ihan uudempia konemalleja, ja samalla antavat muille aivan väärää haavoittuvuustietoa koneista. /mutu

 

[copter]

Itse ajoin tuon Dellin updaten josta laitoin aiemmin juttua, mutta lakkasi sitten TB telakka toimimasta ja jouduin kanssa palaamaan aiempaan BIOS versioon. Ei varmaan suoraan johdannaista tästä mikrokoodipäivityksestä vaan jostain muusta BIOS ongelmasta, mutta noh se tuli tuon pätsin mukana kuitenkin.

 

[TenderBeef]

Hohhoijaa, kokeilin nyt itsekin sitä Microsoftin Powershell-hommaa josta näkisi haavoittuvuuksien tilanteen. Ensiksi piti asennella "Windows Management Framework 5.0" koneelle ja bootata, sitten powershellistä "Install-Module SpeculationControl" komento jonka jälkeen tuli "NuGet provider is required to continue" ja sen lataus ilmeisesti onnistui mutta sen jälkeen tuli virhe:

PS C:\Windows\system32> Install-Module SpeculationControl
PackageManagement\Install-Package : No match was found for the specified search criteria and module name 'SpeculationCo
ntrol'.
At C:\Program Files\WindowsPowerShell\Modules\PowerShellGet\1.0.0.1\PSModule.psm1:1375 char:21
+ ...          $null = PackageManagement\Install-Package @PSBoundParameters
+                      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Microsoft.Power....InstallPackage:InstallPackage) [Install-Package], Ex
   ception
    + FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.InstallPackage

Ja sama virhe toistuu kun ajaa "Install-Module SpeculationControl" komentoa uudestaan. Vaikeata pitää näköjään kaikki olla. Kellään mitään hajua mistä kysymys?

 

[nuumio]

Ja sama virhe toistuu kun ajaa "Install-Module SpeculationControl" komentoa uudestaan. Vaikeata pitää näköjään kaikki olla. Kellään mitään hajua mistä kysymys?

Mulla ei ole hajua mistä on kysymys, kun PowerShell ei ole tuttu. Mutta itse sain ajettua tuon niillä "PowerShell Verification using a download from Technet" ohjeilla, jotka on heti "PowerShell Verification using the PowerShell Gallery" ohjeiden alapuolella.

 

[leripe]

Hohhoijaa, kokeilin nyt itsekin sitä Microsoftin Powershell-hommaa josta näkisi haavoittuvuuksien tilanteen. Ensiksi piti asennella "Windows Management Framework 5.0" koneelle ja bootata, sitten powershellistä "Install-Module SpeculationControl" komento jonka jälkeen tuli "NuGet provider is required to continue" ja sen lataus ilmeisesti onnistui mutta sen jälkeen tuli virhe:

PS C:\Windows\system32> Install-Module SpeculationControl
PackageManagement\Install-Package : No match was found for the specified search criteria and module name 'SpeculationCo
ntrol'.
At C:\Program Files\WindowsPowerShell\Modules\PowerShellGet\1.0.0.1\PSModule.psm1:1375 char:21
+ ...          $null = PackageManagement\Install-Package @PSBoundParameters
+                      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Microsoft.Power....InstallPackage:InstallPackage) [Install-Package], Ex
   ception
    + FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.InstallPackage

Ja sama virhe toistuu kun ajaa "Install-Module SpeculationControl" komentoa uudestaan. Vaikeata pitää näköjään kaikki olla. Kellään mitään hajua mistä kysymys?

Kokeileppa päivittää uusin ps, 5.1.
Installing Windows PowerShell

 

[TenderBeef]

Kokeileppa päivittää uusin ps, 5.1.
Installing Windows PowerShell

Sain nuumion vinkillä toimimaan jo. Mutta kiitos vinkistä, jostain syystä en eksynyt uusimman version downloadiin. Tosin tuolla Microsoftin powershell-tsekkaussivulla sanotaan sille ensimmäiselle tavalle "PowerShell Verification using the PowerShell Gallery (Windows Server 2016 or WMF 5.0/5.1)", eli pitäisi kylläkin kait toimia WMF 5.0:llakin.

 

[Pakke]

Päivitin linuxille julkaistuista uusista microcodeista, microcodin biosista g3258 prossulle, lautana joku asuksen h81. Powershell herjaa silti ettei hardware puolella ole suojausta,. Sanoisin että odotellaan vaan. Kuinkakohan pahana on kännykän turvallisuus puoli..

 

[WillYo]

Onko kukaan onnistunut löytämään tietoa siitä että tälle haavoittuvuudelle olisi joskus (soon) tulossa fixi joka ei hidasta prossua lainkaan vai onko tyytyminen nyt tähän että "Ostit kalliin kiven joka ei todellisuudessa vastaakaan lukemiasi testiraportteja vaan toimii X-nopeudella"?

 

[Don Stupido]

Meinaakohan Intel ja emolevyvalmistajat nyt tosiaan jättää tuon Spectre paikkauksen vain käyttäjien omalle vastuulle? Jos tuota korjausta ei nimittäin esim. Windows puolella tulla syöttämään Windows updaten kautta, niin kuinkahan suuri osa niistä 5 vuotta vanhaa tai uudempaakaan rautaa käyttävistä koneista tullaan koskaan paikkaamaan? Itse veikkaisin, että selvä vähemmistö.

 

[TML]

Onko kukaan onnistunut löytämään tietoa siitä että tälle haavoittuvuudelle olisi joskus (soon) tulossa fixi joka ei hidasta prossua lainkaan vai onko tyytyminen nyt tähän että "Ostit kalliin kiven joka ei todellisuudessa vastaakaan lukemiasi testiraportteja vaan toimii X-nopeudella"?

Googlen tekemä Retpoline väitetään olevan sellainen ratkaisu.
Variant 2 kun on se, jonka väitetään olevan vaikein pätsätä ilman performance hittiä.
Mulla ei ole mitään tietoa tuleeko tuo ja koska, ja mitä kautta....

Google claims its Spectre patch results in 'no degradation' to system performance | TheINQUIRER

Google on tuon jo omille palvelimilleen laittanut.