Comments 144
Благодарю! Будет интересно потестить прикладной софт.
Будет интересно потестить прикладной софт.
тогда нужно будет тестировать
1) До установки патча
2) После установки патча
3) после установки с отключением.
Благодарю! Будет интересно потестить прикладной софт.
Будет интересно внести правки в прикладной троян :-)
Если у тебя есть троян запущенный с привилегиями позволяющими вносить правки в реестр, зачем тебе Meltdown и Spectre?
На всякий случай. Что бы после чистки системы она уже была более ослаблена.
Так сразу открой бек дор по мощнее. Правда, обычно, не ослабляют систему, а за частую как раз наоборот прикрывают дырку, через которую пробрались, чтобы никто другой не пролез.
Да и чем возможность чтения произвольной памяти (чтения, а не записи и тем более не выполнения произвольного кода), поможет тебе, если систему почистят?
Да и чем возможность чтения произвольной памяти (чтения, а не записи и тем более не выполнения произвольного кода), поможет тебе, если систему почистят?
Стоит ли тестировать его на ноутбуке с процессором AMD?
На AMD лучше не не рисковать — tproger.ru/news/microsoft-paused-meltdown-and-spectre-updates-for-amd
1. Вообще падение производительности падает уже сразу после установки патча.
2. Во вторых ключи реестра надо устанавливать только на серверных ОС. На клиентских патч по умолчанию включается без необходимости добавлять параметры в реестр.
3. Для полного устранения уязвимости необходимо обновление Firmware от производителя материнской платы/сервера. После установки обновленного Firmware ситуация с производительностью так же может непредсказуемо измениться.
2. Во вторых ключи реестра надо устанавливать только на серверных ОС. На клиентских патч по умолчанию включается без необходимости добавлять параметры в реестр.
3. Для полного устранения уязвимости необходимо обновление Firmware от производителя материнской платы/сервера. После установки обновленного Firmware ситуация с производительностью так же может непредсказуемо измениться.
del
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : TrueНо патчи стоят
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Патчи стоят, но не стоит 1709
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Патчи стоят, но не стоит 1709
Только это относится «хайповым» уязвимостям, как я понял:
Видимо чего-то другого не хватает.
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : TrueВидимо чего-то другого не хватает.
Тогда возникает вопрос, а не отключает ли этот фикс что-то лишнее? Судя по содержимому он выставляет поле с битовыми флагами, причём не факт, что эти флаги будут одинаковыми на всех системах.
а не отключает ли этот фикс что-то лишнее?
Вероятнее всего, что да. Я об этом писал в постскриптуме.
Но вот, например, что мне пишет машинка с семеркой 12 года покупки:
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection.
n mitigation.Обновы все устанавливались сами.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : False
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Core i5-6300U + Win 10 Pro 1709 + KB4056892
До обновления BIOS
После обновления BIOS:
До обновления BIOS
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : TrueПосле обновления BIOS:
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : TrueUFO just landed and posted this here
Какая ОС и версия powershell?
UFO just landed and posted this here
обновите пауэршелл www.microsoft.com/en-us/download/details.aspx?id=54616
UFO just landed and posted this here
Первое исправление CVE-2017-5715 [branch target injection] у Вас не работает, поcкольку требуется обновление прошивки процессора, о чём сообщает «BTIDisabledByNoHardwareSupport — True». На данный момент она доступна не для всех моделей процессоров, поэтому нужно подождать. А для некоторых, увы, и вовсе не будет выпущена.
Что касается CVE-2017-5754 [rogue data cache load], то исправление работает, но механизм KVAShadowPcid (с ним патч будет оказывать меньшее влияние на производительность) не поддерживается Вашим процессором. Это не критично, поскольку Meltdown Вам всё равно не грозит.
Что касается CVE-2017-5754 [rogue data cache load], то исправление работает, но механизм KVAShadowPcid (с ним патч будет оказывать меньшее влияние на производительность) не поддерживается Вашим процессором. Это не критично, поскольку Meltdown Вам всё равно не грозит.
На win 10 такой же путь (v1.0), а PowerShell 5. Посмотреть версию можно Get-Host.
не утихают слухи о катастрофическом падении производительности
Если боитесь слухов то проверьте самостоятельно или посмотрите на тесты кучи людей, а не занимайтесь глупостями.
информация по отключению данной заплатки может оказаться полезной
Серьезно? Вернуть обратно исправленную дыру безопасности, с помощью которой можно хакнуть компьютер с любой веб-страницы через браузер это полезная вещь? Не думал что увижу такое...
Если боитесь слухов
Никто ничего не боится, не нервничайте =)
Серьезно? Вернуть обратно исправленную дыру безопасности, с помощью которой можно хакнуть компьютер с любой веб-страницы через браузер это полезная вещь? Не думал что увижу такое
Подумайте ещё.
В этой заметке написано, как быстро проверить свой ПК на наличие заплаток к данной уязвимости, обратите внимание, что именно это пока вызывает наибольший интерес. Зрите в корень, в общем =)
У меня есть планшет на windows 10, на нем запускается пяток программ для работы "в поле", причем они требовательные по ресурсам. В интернет он не входит.
Как думаете, нужен ли мне фикс, который снижает производительность, но закроет дыру, которая меня абсолютно не касается?
который снижает производительность
И на сколько же данный фикс снижает производительность ваших тяжелый приложений, что вы готовы использовать дырявую ОС?
И на сколько же данный фикс снижает производительность ваших тяжелый приложений, что вы готовы использовать дырявую ОС?
Вам человек описал довольно конкретный и оправданный кейс. Не понимаю, к чему ваше навешивание ярлыков о «дырявости».
оправданный кейс
Разве оправданный? Сравнительных цифр я не вижу, а вы?
Не понимаю, к чему ваше навешивание ярлыков о «дырявости»
Не ярлык, а дыра. Как ещё это можно назвать, "мелкая неприятность" что ли?
Хоть мы и на Гиктаймс, но существуют задачи, которые не требуют броузера. А без броузера нет ни дыры, ни неприятности.
Достаточно сопоставить «для работы в поле» с «хакнуть компьютер с любой веб-страницы через браузер», чтобы прикинуть, что хакнуть не получится. Для какого нибудь видеомонтажа на площадке 10% скорости вполне себе аргумент. Или, например, я веду стримы, подобрав настройки сжатия и прочего так, что комп загружен на 95%+-5% ровно и стабильно. Вышел за 100% — получи пропуск кадров.
Достаточно сопоставить «для работы в поле» с «хакнуть компьютер с любой веб-страницы через браузер», чтобы прикинуть, что хакнуть не получится. Для какого нибудь видеомонтажа на площадке 10% скорости вполне себе аргумент. Или, например, я веду стримы, подобрав настройки сжатия и прочего так, что комп загружен на 95%+-5% ровно и стабильно. Вышел за 100% — получи пропуск кадров.
Есть такая штука как целесообразность. И зашищенность — это лишь одно из свойств ОС, иногда не важное от слова совсем.
Невежество в вопросах безопасности на технических ресурсах удручает.
Ситуации где защищенность не важна совсем скорее редкое исключение, чем правило. Поэтому статья об отключении систем защиты на техническом ресурсе это далеко не лучшая идея. Те, кому на самом деле не нужна защищенность, знает что делает и без этой статьи. Все остальные потенциально подключаются к следующей версии Mirai.
Ситуации где защищенность не важна совсем скорее редкое исключение, чем правило. Поэтому статья об отключении систем защиты на техническом ресурсе это далеко не лучшая идея. Те, кому на самом деле не нужна защищенность, знает что делает и без этой статьи. Все остальные потенциально подключаются к следующей версии Mirai.
Все ж таки с философской точки зрения Ваша позиция очевидно неверна. Философская точка зрения — имеется ввиду глобальный подход, исторический так сказать. Однозначно более надежен подход когда мы считаем нашу ОС однозначно ненадежной и эта позиция имеет множество отличных тому подтверждений — хотя бы последняя история когда дыры были точно больше 10-ти лет. Сколько таких дыр есть еще незакрытых? Сколько есть официальных закладок соответствующих органов? Ситуация когда защищенность не важна совсем, статистически вероятно, чаще встречается чем ситуация когда защищенность нужна. Просто большое количество людей интеллектуально не в состоянии понять концепцию пароля, а смотреть телевизор по компьютеру им хочется. Какая тут защита, если он свои пароли выдает первому встречному пучком, не понимая что для чего. А то как должно быть в теории это конечно да, но не забывайте — кажется Вольтер сказал что-то про «по-настоящему безгранична только человеческая глупость»
Согласен на 99%, но и с nazarpc тоже, зря его заминусовали.
Вот на хабре\гике — да, и обсудят целесообразность и т.п.
НО
через пару дней всякие пикабу\япы растиражируют подобные посты однозначно в другом ключе, а именно — *Отключение очередного, замедляющего ваш комп бесполезного, обновления Виндавс*.
И тонны хомячков ломанутся бездумно сносить этот фикс — ибо он же бесполезный\замедляющий\естдетей и вообще обновления зло.
Вот на хабре\гике — да, и обсудят целесообразность и т.п.
НО
через пару дней всякие пикабу\япы растиражируют подобные посты однозначно в другом ключе, а именно — *Отключение очередного, замедляющего ваш комп бесполезного, обновления Виндавс*.
И тонны хомячков ломанутся бездумно сносить этот фикс — ибо он же бесполезный\замедляющий\
Ну вот я, например, не готов жертвовать даже одним процентом производительности ради укрепления иллюзии безопасности.
У меня есть ещё более подходящий пример: Windows 7 без интернета в виртуалке на которую оффлайн способом накатываются патчи и в которой компилируется и тестируется ПО для железа. Дополнительный тупняк к без того медленно работающему отладчику железки мне там не нужен от слова совсем. И таких ситуаций очень и очень много.
Кстати, вы вот лучше меня разбираетесь в потрохах винды, подскажите пожалуйста — медлительность последних версий Windows 10 (особенно в VMware, у меня версия 10.0 стоит например) может быть вызвана чем-то ещё, кроме этого патча? Если знаете чем — не подскажете, как можно избавиться от этого слайдшоу с 2-3 fps и загрузкой по 3-4 минуты? Ну кроме как откатываться назад. Версия 1609 работала намного быстрее, раз в 10-15 если смотреть на глазок. И включения аппаратной виртуализации для этого не требовалось. Я конечно попробую включить и протестировать с включённой Intel VT-x, но всё-таки это очень странно.
P.S. Есть версия, что проблема именно во взаимодействии Windows и драйверов виртуальной машины — например, Windows упорно ставит драйвера для неких виртуальных USB сенсоров (имитация тачскрина?), после чего в виртуалке перестаёт работать мышь, и приходится удалять эти устройства в диспетчере с помощью одной только клавиатуры, делать ребут, а потом через один запуск всё повторяется по новой.
P.S. Есть версия, что проблема именно во взаимодействии Windows и драйверов виртуальной машины — например, Windows упорно ставит драйвера для неких виртуальных USB сенсоров (имитация тачскрина?), после чего в виртуалке перестаёт работать мышь, и приходится удалять эти устройства в диспетчере с помощью одной только клавиатуры, делать ребут, а потом через один запуск всё повторяется по новой.
У меня, кстати, раньше была аналогичная проблема при подключении по RDP: лагалово с 1-2 fps, при этом загрузка видеокарты была почти 100% (а это GTX1080). Проблема решалась ребутом, но стоило войти на комп напрямую, как лагалово по RDP начиналось заново. Проблема была вызвана масштабированием DPI, и в последних билдах её уже нет.
Опа. А я как раз включил опцию, устраняющую размытый текст (они её в последних сборках штатно включили, без танцев с реестром). Может, и у меня в этом дело? Жаль только, без неё реально текст мыльный. Теперь ещё понять бы, где её отключать, при такой ужасной производительности отключение пару часов может занять))
P.S. Загрузку видеокарты не мерил, но загрузка ЦП виртуальной машины — именно что под 100% (реальный процессор при этом кушает 27-30%).
P.S. Загрузку видеокарты не мерил, но загрузка ЦП виртуальной машины — именно что под 100% (реальный процессор при этом кушает 27-30%).
Не особенно пока могу помочь с Windows 10 ибо всё ещё не использую её для серьёзных задач поскольку часть моих задач там всё ещё не решаются по человечески, а на железках где использую виртуалок нет совсем. Однако однозначно VT-x, VT-d и все прочие аппаратные ускорения для виртуализации должны быть включены в любом случае ибо их отключение только просаживает производительность как хоста так и вирт. машины.
P.S. На счёт нагрузки в виртуалке на ЦП высока вероятность, что ускорение интерфейса на GPU в виртуалке просто не работает.
P.S. На счёт нагрузки в виртуалке на ЦП высока вероятность, что ускорение интерфейса на GPU в виртуалке просто не работает.
Но началось это почему-то только после обновления сборки Win10. Хотя, странное дело, я пытаюсь сейчас поставить новую виртуалку с дистрибутива — и там тоже адские тормоза.
Сначала думал, что диск начал сыпаться, на котором образы виртуальных дисков лежат. Но попробовал чуть увеличить размер диска C:\, чтобы на нём стало больше места (думал, может файла подкачки не хватает) — и внезапно Acronis мне сообщил, что у меня на диске C:\ естьBad сектора. Проверил через chkdisk, утилита сказала, что что-то было исправлено — но Acronis так и не хочет делать увеличение размера тома. Вот думаю, может проблема вообще в моём диске C:\, и всё глючит поэтому? Хотя другие программы работают шустро и не падают, вроде как. Странно.
Сначала думал, что диск начал сыпаться, на котором образы виртуальных дисков лежат. Но попробовал чуть увеличить размер диска C:\, чтобы на нём стало больше места (думал, может файла подкачки не хватает) — и внезапно Acronis мне сообщил, что у меня на диске C:\ естьBad сектора. Проверил через chkdisk, утилита сказала, что что-то было исправлено — но Acronis так и не хочет делать увеличение размера тома. Вот думаю, может проблема вообще в моём диске C:\, и всё глючит поэтому? Хотя другие программы работают шустро и не падают, вроде как. Странно.
Хм, если диск сыпется то это будет видно в SMART.
P.S. начаться после обновления сборки 10 могло потому что эта операция фактически равна переустановке системы поверх с сохранением данных пользователя, вот весь диск и прошерстился. Можно попробовать встроенными средствами системы проверить поверхность диска, а не только ошибки.
P.S. начаться после обновления сборки 10 могло потому что эта операция фактически равна переустановке системы поверх с сохранением данных пользователя, вот весь диск и прошерстился. Можно попробовать встроенными средствами системы проверить поверхность диска, а не только ошибки.
А не подскажете, как именно это сделать? Я вроде в Acronis выбирал галочку «проверять BAD сектора», а он вызвал стандартный chkdisk при перезагрузке. Но тот раздел, где у меня виртуалки — имеет объём 2 Тб, я замучился ждать конец проверки и скипнул это дело. Поставлю как-нибудь, кода уйду из дома. Это часов 5-6 потребует, судя по тому, что оно за час с лишним достигло только 11 процентов.
На самом деле, в остальном тот раздел работает хорошо, ничего не подвисает.
Мне кажется, проблема даже не в Bad секторах. Скорее всего это баг конкретной версии VMware на Windows XP. И наачалось всё (именно на XP) в тот момент, когда я ту виртуалку перенёс на другой физический диск (либо проблема в очень большом объёме этого раздела). Потому что когда она на том же физическом диске (но на другом томе), всё работает прекрасно. Не летает, но и нет затупов на 2 минуты перед появлением ввода пароля на Welcome экране, например. Проверил, переместив обратно.
Новую сборку я ставил под Win 7 x64, и у неё (у Win 7), видимо, нет проблем, когда образ машины лежит на другом физическом носителе (версия VMware, как ни странно, идентичная стоит и там и там).
На самом деле, в остальном тот раздел работает хорошо, ничего не подвисает.
Мне кажется, проблема даже не в Bad секторах. Скорее всего это баг конкретной версии VMware на Windows XP. И наачалось всё (именно на XP) в тот момент, когда я ту виртуалку перенёс на другой физический диск (либо проблема в очень большом объёме этого раздела). Потому что когда она на том же физическом диске (но на другом томе), всё работает прекрасно. Не летает, но и нет затупов на 2 минуты перед появлением ввода пароля на Welcome экране, например. Проверил, переместив обратно.
Новую сборку я ставил под Win 7 x64, и у неё (у Win 7), видимо, нет проблем, когда образ машины лежит на другом физическом носителе (версия VMware, как ни странно, идентичная стоит и там и там).
Я бы не переживал по поводу производительности, ставьте обновы тем более, что обновления обчыно закрывают и исправляют сразу много чего.
Хотя я бы и по поводу данной уязвимости не сильно переживал, ее не просто реализовать с рассчётом на массовое использование (по крайней мере пока).
Хотя я бы и по поводу данной уязвимости не сильно переживал, ее не просто реализовать с рассчётом на массовое использование (по крайней мере пока).
То есть эксплуатация уязвимости через обычный сайт в обычном браузере с помощью JavaScript по вашему слишком сложно? Да Facebook при желании за день имел бы миллиардный ботнет!
То есть эксплуатация уязвимости через обычный сайт в обычном браузере с помощью JavaScript по вашему слишком сложно?
По моему да. Если это не так, приведите пример простой эксплуатации.
Строчка JavaScript кода на любом из сайтов что вы посещаете может хакнуть ваш компьютер. Это оказалось достаточно простым для того, чтобы производители браузеров в экстренном порядке выпускали патчи. Если не ошибаюсь, эксплойты есть в открытом доступе.
Подскажите, что это за патчи?
А спустя неделю оказалось, что эта строчка совершенно ни работает ни в одном браузере даже 2-3 летней давности ни на одной ОС. Потом сказали, что «это же тест для демонстрации идеи, работающий эксплойт выкладывать было бы слишком опасно» — но пруфов, что это вообще хоть где-то работало, так и нет.
Да Facebook при желании за день имел бы миллиардный ботнет
Не ботнет, а слитую историю/куки/id-сессий/возможно, сохранённые в браузере пароли (если они где-то в памяти процесса лежат плейнтекстом).
Можно конечно порассуждать на тему того, как возможность выдернуть что-то из памяти процесса может косвенно помочь при осуществлении другой атаки через какую-нибудь другую уязвимость, но это уже совсем дебри нацеленных атак.
Не ботнет, а
Почему нет? Всё зависит от целей атакующего.
Почему нет?
Мы говорим о конкретной уязвимости. Вы же понимаете как она работает?
Можно конечно порассуждать на тему того, как возможность выдернуть что-то из памяти процесса может косвенно помочь при осуществлении другой атаки через какую-нибудь другую уязвимость, но это уже совсем дебри нацеленных атак.
Что Meltdown, что Spectre позволяют только читать память, но не изменять её или выполнять какой-либо код.
Данные уязвимости не позволяют выполнять код или модифицировать память.
Гипотетически, они могут позволить увести (к примеру) рутовый пароль или ключ, что позволит при целенаправленной атаке добавить машину в ботнет.
Но покажите мне того идиота, который будет руками каждую машину в ботнет добалять
Гипотетически, они могут позволить увести (к примеру) рутовый пароль или ключ, что позволит при целенаправленной атаке добавить машину в ботнет.
Но покажите мне того идиота, который будет руками каждую машину в ботнет добалять
Э… Вы считаете, что ключ можно увести, прочитав его?
Да без проблем, вот вам мой ключ, читайте:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCxviQn+VLCNRUEnKv4GlQmvMlb8WlKBLVF7lPywbfPMnTwPMGseTCJaoP9UAhJpqYGgGcXXe7i0UHpSFXjJppQ8T4F/eScowY2c+lOH2Qvbl/AVmlPSxl1J5cnrr5FlddZtwDLKAxGFeddaGojTuRot3DU7vfOPeS/iH2EOvsLvlbH+bwbyfPLj3syfc25ZxDYvTEDjUBIUcURa9BKQaN1MeCxPJjJpGexu5StmpP+We1+LnkvvNjz3ocqcEMBnj8ohMKgH1lCf1fdTGhBuyk+LZ7sqO2HMPlUseyiWs9eJwXn0CidpWPy8apqVN3So5/vHAZKowRWaqO80S+xsH9
И что? Получили доступ на desunote.ru?
Да без проблем, вот вам мой ключ, читайте:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCxviQn+VLCNRUEnKv4GlQmvMlb8WlKBLVF7lPywbfPMnTwPMGseTCJaoP9UAhJpqYGgGcXXe7i0UHpSFXjJppQ8T4F/eScowY2c+lOH2Qvbl/AVmlPSxl1J5cnrr5FlddZtwDLKAxGFeddaGojTuRot3DU7vfOPeS/iH2EOvsLvlbH+bwbyfPLj3syfc25ZxDYvTEDjUBIUcURa9BKQaN1MeCxPJjJpGexu5StmpP+We1+LnkvvNjz3ocqcEMBnj8ohMKgH1lCf1fdTGhBuyk+LZ7sqO2HMPlUseyiWs9eJwXn0CidpWPy8apqVN3So5/vHAZKowRWaqO80S+xsH9
И что? Получили доступ на desunote.ru?
Почему нет?Дам Вам подсказку: только чтение.
Да Facebook при желании за день имел бы миллиардный ботнет!
А разве он сам таковым не является?
Впрочем, как и любая другая большая соцсеть.
Всего лишь минус 20% response в тестах от самого интела на 6м поколении. Что творится на более старых сложно даже представить. Но да. Рассказывайте дальше как всё хорошо на самом деле.
Нет никаких универсальных 20%. Может быть и 0% и 30%, всё зависит от того, какие приложения используются. Есть далеко ненулевая вероятность что вы не заметите никакой разницы в производительности.
Насколько мне известно, прежде всего страдают процессы, использующие syscall-ы (иными словами, обращающиеся к памяти ядра).
«Чтож ты, фраер, сдал назад.»(с)
Еще раз, что там про отсутствие тестов подтверждающих падение производительности?
Есть ненулевая вероятность не заметить разницы. Ок.
Если тестами(многократными) удалось получить -20%, значит вероятность ОЩУТИТЬ разницу тоже совсем ненулевая.
И еще раз. Это 6-е поколение… Что творится на 920, 2700, 3770, 4770? Как себя чувствуют двухъядерные i3?
Без syscall'ов ты в любом случае не обойдешься.
Еще раз, что там про отсутствие тестов подтверждающих падение производительности?
Есть ненулевая вероятность не заметить разницы. Ок.
Если тестами(многократными) удалось получить -20%, значит вероятность ОЩУТИТЬ разницу тоже совсем ненулевая.
И еще раз. Это 6-е поколение… Что творится на 920, 2700, 3770, 4770? Как себя чувствуют двухъядерные i3?
Без syscall'ов ты в любом случае не обойдешься.
У меня 4790K, субьективно в моих задачах ничего не изменилось. У друга на пентиуме последнем тоже, а он производительностью в принципе не блещет. Собственно, это он мне и сказал, что ничего не изменилось. Специально скачал обновление проверить (до этого на фоне выкриков о 30, а потом и 146 60% «падения производительности» выключил обновления от греха).
КМК, только в очень узкоспециализированных приложениях и тестах будет заметно падение производительности.
Как пример приложений без какого бы то ни было падения производительности можно взять почти любую игру. Будут графики вроде «было 65, стало 64,5 FPS».
А вот пример посерьезнее. Ничего не изменилось.
Хотя кричать о «в среднем 30%», конечно, проще.
КМК, только в очень узкоспециализированных приложениях и тестах будет заметно падение производительности.
Как пример приложений без какого бы то ни было падения производительности можно взять почти любую игру. Будут графики вроде «было 65, стало 64,5 FPS».
А вот пример посерьезнее. Ничего не изменилось.
Хотя кричать о «в среднем 30%», конечно, проще.
с помощью которой можно хакнуть компьютер с любой веб-страницы через браузер
Вы серьёзно, или это сарказм был?
то проверьте самостоятельно или посмотрите на тесты кучи людей
Уже проверил. Падение производительности на виртуальной машине в версии 1803 по сравнению с 1609 просто катастрофическое. Ну нахрен такие заплатки… :)
Для тех процессоров, которые не подвержены Meltdown (CVE-2017-5754) значение Hardware requires kernel VA shadowing: False (что переводится примерно так: Аппаратная часть требует скрытия VA в ядре: Нет.)
Если она False, то следующие значения, что к ней относится (KVAShadowRequired, KVAShadowWindowsSupportEnabled, KVAShadowPcidEnabled) тоже будут False, так как для такого процессора они не требуют True.
KVAShadowWindowsSupportPresent после установки патча будет True, так как значит, что Windows представила поддержку этого патча (но это не значит, что он функционирует).
С CVE-2017-5715 аналогично. Если патч установлен, то значение BTIWindowsSupportPresent — True. Если BTIHardwarePresent — False (прошивка процессора не поддерживает патч), то сам патч будет в отключенном состоянии и будет иметь значение BTIDisabledByNoHardwareSupport — True до тех пор, пока не обновится прошивка процессора.
В итоге получаем полную совместимость патчей для процессоров. Если патч нужен, то он будет функционировать (в случае с первым вариантом ему дополнительно нужно обновление прошивки процессора), а если не нужен, то будет находится в отключенном состоянии.
Если она False, то следующие значения, что к ней относится (KVAShadowRequired, KVAShadowWindowsSupportEnabled, KVAShadowPcidEnabled) тоже будут False, так как для такого процессора они не требуют True.
KVAShadowWindowsSupportPresent после установки патча будет True, так как значит, что Windows представила поддержку этого патча (но это не значит, что он функционирует).
С CVE-2017-5715 аналогично. Если патч установлен, то значение BTIWindowsSupportPresent — True. Если BTIHardwarePresent — False (прошивка процессора не поддерживает патч), то сам патч будет в отключенном состоянии и будет иметь значение BTIDisabledByNoHardwareSupport — True до тех пор, пока не обновится прошивка процессора.
В итоге получаем полную совместимость патчей для процессоров. Если патч нужен, то он будет функционировать (в случае с первым вариантом ему дополнительно нужно обновление прошивки процессора), а если не нужен, то будет находится в отключенном состоянии.
P. S. Если кому интересно глянуть на исходники этого модуля, то можете скачать архив по этой ссылке.
Ладно старые компы, а новым что не так? Я так понял, что статус должен быть у всех либо true, либо все false.
Патчи все стоят. Win 10 x64 1709 (build 16299.125)
Проц I7-6700k, мать GA-Z170N-WIFI (rev. 2.0), стоит последний биос + GIGABYTE Intel ME Critical FW Update Utility рапортует о том, что уязвимости закрыты.
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
Патчи все стоят. Win 10 x64 1709 (build 16299.125)
Проц I7-6700k, мать GA-Z170N-WIFI (rev. 2.0), стоит последний биос + GIGABYTE Intel ME Critical FW Update Utility рапортует о том, что уязвимости закрыты.
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
У Вас не стоит патч. После установки патча версия ОС должна быть не меньше 16299.192.
Его можно установить вручную, скачав из каталога обновлений Microsoft. Для вашей ОС он доступен тут.
Но я всегда рекомендую дождаться этого патча через центр обновлений, поскольку некоторое антивирусное ПО с ним не совместимо: список.
Если это обновление не доступно через центр обновлений, то проверьте, есть ли следующая запись в реестре?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name=«cadca5fe-87d3-4b96-b7fb-a231484277cc»
Type=«REG_DWORD»
Data=«0x00000000»
Если нет, то сообщите состояние встроенного антивируса и название стороннего (если пользуетесь).
Его можно установить вручную, скачав из каталога обновлений Microsoft. Для вашей ОС он доступен тут.
Но я всегда рекомендую дождаться этого патча через центр обновлений, поскольку некоторое антивирусное ПО с ним не совместимо: список.
Если это обновление не доступно через центр обновлений, то проверьте, есть ли следующая запись в реестре?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name=«cadca5fe-87d3-4b96-b7fb-a231484277cc»
Type=«REG_DWORD»
Data=«0x00000000»
Если нет, то сообщите состояние встроенного антивируса и название стороннего (если пользуетесь).
Нет такой ветки в реестре. Антивирусов сторонних нет, родной дефендер выключен локальной политикой.
Установил апдейт. Версия поменялась на (build 16299.192)
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Suggested actions (вот тут 2 предложения ушло, одно было установить обновы для винды и вот это тоже ушло — Follow the guidance for enabling Windows support for speculation control mitigations are described in support.microsoft.com/help/4072698, осталось только про биос. Возможно, просто не вышел еще новее биос.)
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
Установил апдейт. Версия поменялась на (build 16299.192)
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Suggested actions (вот тут 2 предложения ушло, одно было установить обновы для винды и вот это тоже ушло — Follow the guidance for enabling Windows support for speculation control mitigations are described in support.microsoft.com/help/4072698, осталось только про биос. Возможно, просто не вышел еще новее биос.)
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
красивая картиночка в цвете
Да, для того чтобы заработал патч от CVE-2017-5715 нужно обновить прошивку процессора. Если производитель OEM, то обновление может прийти вместе с BIOS. C Meltdown у Вас всё в порядке.
Биос последний — F22c от 2017/12/01, описание — Update Intel ME for security vulnerabilities
И вот у них еще прога есть для проверки. Пишет типа все ок, но и писала что все ок до обновления ОС…
Ждем нового биоса? Или у интела есть какие нить прошивки под процы?
И вот у них еще прога есть для проверки. Пишет типа все ок, но и писала что все ок до обновления ОС…
Картиночки с прогой для проверки от гигабайта
Ждем нового биоса? Или у интела есть какие нить прошивки под процы?
Скорее всего да, следует подождать очередного обновления BIOS. Intel говорила о том, что к концу этой недели она представит обновления прошивки для 90% всех моделей процессоров, выпущенных за последние пять лет.
На линуксе микрокод процессора обновляется средствами ОС и из репозитория. Несколько дней назад в ведущих дистрибутивах обновился.
А как этот пакет выглядит? И требует ли он ручной установки?
Что-то типа intel-ucode, надо ставить. Для амд — linux-firmware, скорее всего уже стоит.
Кстати, насколько я знаю, венда тоже умеет микрокод обновлять.
Кстати, насколько я знаю, венда тоже умеет микрокод обновлять.
Насколько помню ваш случай (ubuntu lts, intel) — примерно такое:
sudo apt-get update # update the software database
sudo apt-get install intel-microcode # install intel-microcode
reboot # reboot the computer
Для проверки:
dmesg | grep -i microcode # review the log since boot
grep -i microcode /var/log/syslog* # review syslog
Тут будет написано, что микрокод успешно загружен (или, что он не требуется).
sudo apt-get update # update the software database
sudo apt-get install intel-microcode # install intel-microcode
reboot # reboot the computer
Для проверки:
dmesg | grep -i microcode # review the log since boot
grep -i microcode /var/log/syslog* # review syslog
Тут будет написано, что микрокод успешно загружен (или, что он не требуется).
Теперь надо понять, нужно мне это или нет. Ядро я хоть откатить могу.
Всё гораздо веселее. Микрокод загружается каждый раз заново при запуске процессора. Сначала — биосом, потом — загрузчиком. Так что при удалении пакета с ним (или откате системы) всё вернётся на круги своя.
Я уже запутался, если честно. Можно почитать об этом?
Если не смотреть на название пакета (оно для debian), то наиболее разумно про процесс здесь:
www.pcsuggest.com/update-cpu-microcode-in-linux
И немного теории здесь:
wiki.debian.org/Microcode
www.pcsuggest.com/update-cpu-microcode-in-linux
И немного теории здесь:
wiki.debian.org/Microcode
sudo apt install intel-micrododeИ все дальше само автоматически без вашего участия.
Выполнял команду
Import-Module SpeculationControl
Невозможно загрузить файл C:\Program Files\WindowsPowerShell\Modules\SpeculationControl\1.0.3\Speculati
onControl.psm1, так как выполнение сценариев отключено
Решение команда Set-ExecutionPolicy RemoteSigned
Изменение политики выполнения
Политика выполнения защищает компьютер от ненадежных сценариев. Изменение политики выполнения может поставить под
угрозу безопасность системы, как описано в разделе справки, вызываемом командой about_Execution_Policies и
расположенном по адресу https:/go.microsoft.com/fwlink/?LinkID=135170. Вы хотите изменить политику выполнения?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «N»):
Пишем Y после этого все заработало.
У меня на ноуте такой результат:
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Версия винды:
Пуск-выполнить-winver
Версия 1709 (Сборка ОС 16299.192)
Уязвимость пофикшена или нет?
Import-Module SpeculationControl
Невозможно загрузить файл C:\Program Files\WindowsPowerShell\Modules\SpeculationControl\1.0.3\Speculati
onControl.psm1, так как выполнение сценариев отключено
Решение команда Set-ExecutionPolicy RemoteSigned
Изменение политики выполнения
Политика выполнения защищает компьютер от ненадежных сценариев. Изменение политики выполнения может поставить под
угрозу безопасность системы, как описано в разделе справки, вызываемом командой about_Execution_Policies и
расположенном по адресу https:/go.microsoft.com/fwlink/?LinkID=135170. Вы хотите изменить политику выполнения?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «N»):
Пишем Y после этого все заработало.
У меня на ноуте такой результат:
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Версия винды:
Пуск-выполнить-winver
Версия 1709 (Сборка ОС 16299.192)
Уязвимость пофикшена или нет?
Выполните последовательно:
Затем установите сам модуль (на все вопросы отвечайте y):
После чего запустите:
После вывода результатов сообщите их тут. И не забудьте после выполнения всех команд вернуть политику безопасности обратно:
Set-ExecutionPolicy BypassЗатем установите сам модуль (на все вопросы отвечайте y):
Install-Module SpeculationControlПосле чего запустите:
Get-SpeculationControlSettingsПосле вывода результатов сообщите их тут. И не забудьте после выполнения всех команд вернуть политику безопасности обратно:
Set-ExecutionPolicy RestrictedЧто касается ноутбука, то Meltdown — патч работает. А по поводу Spectre CVE-2017-5715 [branch target injection] патч у Вас не работает, поcкольку требуется обновление прошивки процессора, о чём сообщает «BTIDisabledByNoHardwareSupport — True». Остаётся только одно — ждать обновление прошивки для процессора (увы, но обновление будет доступно не для всех процессоров).
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Правильно ли я понимаю, что патч стоит, но я не защищен? Для i7 2600 будет прошивка?
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Правильно ли я понимаю, что патч стоит, но я не защищен? Для i7 2600 будет прошивка?
Та же история с i5 (2500K).
От Meltdown патч стоит и функционирует. А вот для CVE-2017-5715 нужно дождаться обновления прошивки (сам патч тоже готов к работе). Если у Вас OEM производитель, то все обновления Вы должны будете получить от него. Intel говорила о том, что обновление прошивки будут предоставлены для 90% всех моделей процессоров, выпущенных за последние пять лет. О конкретных процессорах мне пока не известно.
Нет, у меня самосборный ПК. Глупый вопрос, но как прошить процессор? :) Это делается при обновлении BIOS материнской платы?
В Вашем случае обновление скорее всего придёт вместе с BIOS, но сами обновления пока ещё не выпущены, поэтому необходимо подождать.
Спасибо. Уточните, пожалуйста, а как вы определили, что Meltdown патч функционирует? Выше вы писали: KVAShadowWindowsSupportPresent после установки патча будет True, так как значит, что Windows представила поддержку этого патча (но это не значит, что он функционирует).
О Meltdown говорят следующие параметры:
KVAShadowRequired: True (Патч от Meltdown требуется)
KVAShadowWindowsSupportPresent: True (Windows представила патч)
KVAShadowWindowsSupportEnabled: True (Windows включила патч)
KVAShadowPcidEnabled: False (Поддержка технологии Pcid отключена, так как не поддерживается процессором, с ним патч будет оказывать меньшее влияние на производительность) — это не критично, так как сам патч всё равно работает, просто с большей потерей производительности.
KVAShadowRequired: True (Патч от Meltdown требуется)
KVAShadowWindowsSupportPresent: True (Windows представила патч)
KVAShadowWindowsSupportEnabled: True (Windows включила патч)
KVAShadowPcidEnabled: False (Поддержка технологии Pcid отключена, так как не поддерживается процессором, с ним патч будет оказывать меньшее влияние на производительность) — это не критично, так как сам патч всё равно работает, просто с большей потерей производительности.
У меня на компе с этим процессором стало все работать раза в 2 медленнее. Особенно на большом проекте с тысячами файлов (php). Есть ли у вас изменения?
Честно говоря, визуально вообще не заметил изменений. Тоже работаю с php.
Мои настройки.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Поднял частоту до 4.3. Может быть дело в чем-то другом, но последнюю неделю подтормаживания стали уже раздражать. Думаю поиграться с отключением фикса и посмотреть что будет.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Поднял частоту до 4.3. Может быть дело в чем-то другом, но последнюю неделю подтормаживания стали уже раздражать. Думаю поиграться с отключением фикса и посмотреть что будет.
А были ли тесты на обычных задачах?
Сборки проектов, лаборатория с виртуалкими, просто дисковые тасты на популярных SSD
SATA и NVME?
Сборки проектов, лаборатория с виртуалкими, просто дисковые тасты на популярных SSD
SATA и NVME?
win 10 1709
после установки патча заметил некоторые глюки в работе компа, а именно:
1. Через какое-то время пропадают некоторые запущенные приложения из панели задач. На приложение не переключиться по alt+tab, но в диспетчере задач они отображаются.
2. Яндекс-браузер перестал запоминать последние открытые вкладки и после закрытия и повторного запуска пропадают все вкладки, открытые в прошлый раз.
Скорость работы компа визуально не изменилась, (i5 3570)
после установки патча заметил некоторые глюки в работе компа, а именно:
1. Через какое-то время пропадают некоторые запущенные приложения из панели задач. На приложение не переключиться по alt+tab, но в диспетчере задач они отображаются.
2. Яндекс-браузер перестал запоминать последние открытые вкладки и после закрытия и повторного запуска пропадают все вкладки, открытые в прошлый раз.
Скорость работы компа визуально не изменилась, (i5 3570)
А микрокод для процов в Windows применяется? Если да, то будьте внимательны, потому как в одном из списков рассылок появилась инфа, что на некотором железе наблюдается регрессия после применения микрокода.
думаю стоит заметить что до пользователей без антивируса этот патч по умолчанию не доходит (пока) support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
впрочем как и потенциально другие патчи, так как он может быть включен в состав кумулятивного обновления
так что поклонникам альтернативных стратегий безопасности нужно сначала заставить винду поставить этот патч, а затем заставить его отключить
вот такой парадокс
вот полный рецепт:
впрочем как и потенциально другие патчи, так как он может быть включен в состав кумулятивного обновления
так что поклонникам альтернативных стратегий безопасности нужно сначала заставить винду поставить этот патч, а затем заставить его отключить
вот такой парадокс
вот полный рецепт:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverrideMask"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
"cadca5fe-87d3-4b96-b7fb-a231484277cc"=dword:00000000
Тест для AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ 3.00 GHz
(Фикс не отключал)
(Фикс не отключал)
BTIHardwarePresent : False
BTIWindowsSupportPresent : False
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : False
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Патч KB4056897 для Win7x64 успешно установился, разрешающая установку ветка в реестре уже была (антивирус KFA).
После установки нет параметров FeatureSettingsOverride и FeatureSettingsOverrideMask по пути реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management.
Это нормально, или этот фикс неактивен? Я предполагал, что после установки патча эти параметры должны появиться во включенном состоянии (значения 0 / 3). Как понимать отсутствие означенных параметров?
После установки нет параметров FeatureSettingsOverride и FeatureSettingsOverrideMask по пути реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management.
Это нормально, или этот фикс неактивен? Я предполагал, что после установки патча эти параметры должны появиться во включенном состоянии (значения 0 / 3). Как понимать отсутствие означенных параметров?
До патча
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardwar
e support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation
control mitigations.
* Follow the guidance for enabling Windows Client support for speculation contr
ol mitigations described in support.microsoft.com/help/4073119
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardwar
e support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation
control mitigations.
* Follow the guidance for enabling Windows Client support for speculation contr
ol mitigations described in support.microsoft.com/help/4073119
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
После патча
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardwar
e support for the branch target injection mitigation.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardwar
e support for the branch target injection mitigation.
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: False
Интел говорили о фиксах для процессоров, которым не более 5, лет. Второе поколение, к сожалению, не вписывается в эти возрастные рамки
У меня вот так.
Я защищен? Падения производительности не заметил.
Спойлер
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : TrueЯ защищен? Падения производительности не заметил.
Да. Патчи работают. Но учитывая специфику уязвимостей, как минимум в теории даже пропатченную систему можно будет атаковать через Bounds Check Bypass (CVE-2017-5753). От этого варианта Spectre нету патчей на ОС. А Retpoline от Google будет эффективен лишь против Branch Target Injection.
Не понятно почему не пропатчено…
Windows 10 x64 (Intel Core i7 7700HQ)
Windows 10 x64 (Intel Core i7 7700HQ)
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation control mitigations.
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119
BTIHardwarePresent : False
BTIWindowsSupportPresent : False
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : FalseUFO just landed and posted this here
Ждём, когда появится патч, устраняющий ошибки и уязвимости этого патча.
У меня всё пропатчилось, но результаты плохие, около -20% на компиляции большого проекта :-( Xeon E5-1650 v4
Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
Siemens рекомендует не устанавливать обновление:
Существуют проблемы совместимости с этими обновлениями…
Согласно текущим знаниям, эти проблемы совместимости также влияют на продукты SIMATIC.
По этой причине рекомендуется не устанавливать эти обновления для системы безопасности.
Попробовал выключить, для этого выполнил команды из «Как отключить фикс», затем перезагрузил компьютер.
Почему после отключения не везде False?
Результат
PS C:\Windows\system32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to support.microsoft.com/en-in/help/4074629
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injectio
n mitigation.
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in supp
ort.microsoft.com/help/4073119
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to support.microsoft.com/en-in/help/4074629
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injectio
n mitigation.
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in supp
ort.microsoft.com/help/4073119
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
Почему после отключения не везде False?
Давайте разберём по пунктам:
Hardware support for branch target injection mitigation is present: False (Прошивка процессора поддерживает патч — нет).
Windows OS support for branch target injection mitigation is present: True (Windows представила патч — да).
Windows OS support for branch target injection mitigation is enabled: False (Патч включен — нет).
Windows OS support for branch target injection mitigation is disabled by system policy: True (Патч отключен групповой политикой — да).
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True (Патч отключен из за несовместимости с прошивкой процессора — да, поскольку зависит от первого пункта).
Hardware requires kernel VA shadowing: True (Процессор требует скрытия VA в ядре — да).
Windows OS support for kernel VA shadow is present: True (Патч представлен Windows — да).
Windows OS support for kernel VA shadow is enabled: False (Патч включен — нет).
Всё что ниже — краткая сводка по всем параметрам и зависит от значений выше.
Итого: при отключении не все значения должны быть False. В статье, увы, это не правильно истолковано.
Hardware support for branch target injection mitigation is present: False (Прошивка процессора поддерживает патч — нет).
Windows OS support for branch target injection mitigation is present: True (Windows представила патч — да).
Windows OS support for branch target injection mitigation is enabled: False (Патч включен — нет).
Windows OS support for branch target injection mitigation is disabled by system policy: True (Патч отключен групповой политикой — да).
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True (Патч отключен из за несовместимости с прошивкой процессора — да, поскольку зависит от первого пункта).
Hardware requires kernel VA shadowing: True (Процессор требует скрытия VA в ядре — да).
Windows OS support for kernel VA shadow is present: True (Патч представлен Windows — да).
Windows OS support for kernel VA shadow is enabled: False (Патч включен — нет).
Всё что ниже — краткая сводка по всем параметрам и зависит от значений выше.
Итого: при отключении не все значения должны быть False. В статье, увы, это не правильно истолковано.
Core i5-4200M + Windows 10 Pro 1709
До обновления BIOS:
После обновления BIOS:
Я правильно понимаю, что эти два значения должны быть False, если всё хорошо?
Результат в случае полной «защищенности» ПК:
BTIHardwarePresent : True BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : True BTIDisabledBySystemPolicy : True //это BTIDisabledByNoHardwareSupport : True //и это KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True
добавил ссылку на официальное обновление отключающее патч CVE 2017-5715 для всех поддерживаемых windows
www.catalog.update.microsoft.com/Search.aspx?q=KB4078130
www.catalog.update.microsoft.com/Search.aspx?q=KB4078130
del
Доброго времени суток!
Подскажите, пожалуйста, о каких оставшихся тормозах свидетельствует данный вывод:
P.S. я кажется понял в чём дело: статья уже немного устарела и параметров стало сильно больше :)
Подскажите, пожалуйста, о каких оставшихся тормозах свидетельствует данный вывод:
Заголовок спойлера
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Speculation control settings for CVE-2018-3639 [speculative store bypass]
Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: False
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False
Speculation control settings for CVE-2018-3620 [L1 terminal fault]
Hardware is vulnerable to L1 terminal fault: True
Windows OS support for L1 terminal fault mitigation is present: True
Windows OS support for L1 terminal fault mitigation is enabled: True
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injectio
n mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
SSBDWindowsSupportPresent : True
SSBDHardwareVulnerable : True
SSBDHardwarePresent : False
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable : True
L1TFWindowsSupportPresent : True
L1TFWindowsSupportEnabled : True
L1TFInvalidPteBit : 45
L1DFlushSupported : False
P.S. я кажется понял в чём дело: статья уже немного устарела и параметров стало сильно больше :)
Все параметры по-прежнему перечислены в разделе "Registry settings". Их можно разделить на 2 группы:
- защита, включённая по умолчанию (её отключают любители "опасной скорости")
- защита, отключённая по умолчанию (соответственно, её включают любители максимальной безопасности)
Всё, что включено по умолчанию, отключается всё так же, как и в статье:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000003
"FeatureSettingsOverrideMask"=dword:00000003
Больше ничего делать не нужно.
Если же, наоборот, хочется включить побольше защиты, то следует вдумчиво читать раздел "Registry settings", потому что команды отличаются в зависимости от производителя CPU (очевидно, что владельцам процессоров Intel бессмысленно включать защиту от уязвимостей, присутствующих лишь в процессорах AMD), включенной многопоточности (Hyper-Threading) и включённости Hyper-V.
Sign up to leave a comment.
Отключение фикса Meltdown и Spectre в Windows