Így javítsd ki a súlyos processzorhibákat!

Gyakorlati útmutató ahhoz, hogy a közelmúltban feltárt, processzorokkal kapcsolatos sérülékenységeket milyen módon lehet biztonságosan befoltozni.

1. Bevezető és hibaleírás
1. Bevezető és hibaleírás 2. A processzorgyártók érintettsége és reakciói 3. Ellenőrzési módok 4. Linux operációs rendszer frissítése 5. Windows operációs rendszer frissítése 6. Ha nem menne a frissítés vagy hibát tapasztalunk 7. BIOS frissítés 8. Ellenőrzések és egyéb érintett rendszerek 9. Intel Management Engine hibajavítása
Írta: Szalai Kálmán
2018-01-18 13:51

Bevezető és hibaleírás

Az elmúlt hetekben néhány sebezhetőség tartotta lázban a nemzetközi és hazai sajtót, valamint a biztonsági szakértőket. Ezek közül kiemelkedik a modern processzorokkal kapcsolatos hibák és azok kihasználása, amelyek a Spectre és Meltdown nevet (logókat), sőt weboldalt is kapták, valamint az Intel Management Engine novemberben nyilvánosságra hozott hibái.

A Spectre nevű sérülékenység két hibája többé-kevésbé minden modern processzort, a Meltdown pedig az Intel elmúlt 10 évben megjelent valamennyi processzorát és néhány erősebb ARM processzort érint – lehetővé téve adatszivárgást. Az Intel Management Engine sebezhetőségei pedig távoltól teszik elérhetővé a gépet. Mindegyik hibára született már több-kevesebb hibajavítás, ezek telepítése elengedhetetlen lesz a jövőben a számítógépek biztonságos üzemeltetéséhez.

Hirdetés

A Spectre és Meltdown hibák a megfelelő operációs rendszeri javítások vagy új kernel telepítése telepítésével, a szoftverek frissített változatának telepítésével, valamint a számítógép alaplapi BIOS-ának frissítésével oldható meg.

Akit nem érdekelnek a technikai részletek, az alábbi fejezetet hagyja ki nyugodtan, és olvassa el, hogyan lehet ellenőrizni és végső soron elhárítani a sérülékenységet a saját rendszereiben.

Spectre és Meltdown

Tehát az elmondható, hogy aki ma számítógépet használ az érintett a sérülékenységekben. A Spectre és Meltdown hibák lehetővé teszik, hogy a rosszindulatú kódot futtató felhasználó adataihoz illetéktelenek férjenek hozzá; felhasználói programok elérjék a rendszermemória – elvben elérhetetlen – részeit, olvassák a kernel és más futó programok által bizalmas információt is tároló memóriacímeit, vagy virtualizált környezetben a vendéggépek a hostgépek vagy a többi vendéggép memóriaterületeit. Fontos megjegyezni, hogy jelenleg nincs szabadon olyan kód, amely ezeket a sebezhetőségeket használná ki. Ennek ellenére érdemes a frissítéseket minél hamarabb telepíteni. Az 1-es és 2-es sérülékenységeket összefoglaló néven Spectre-nek keresztelték el a biztonsági kutatók, míg a 3-as sérülékenység Meltdown néven került nyilvánosságra:

1-es hiba: bounds check bypass (CVE-2017-5753) – Minden egyes bináris érintett lehet. Az adott alkalmazások és a kernel javításával, valamint új futtatható állományok, programkönyvtárak megfelelő újrafordításával javítható a hiba. Az új kód a LFENCE opkód megfelelő használatával tehető biztonságossá. A hibajavítás hatása a teljesítményre minimális
2-es hiba: branch target injection (CVE-2017-5715) – Javítható alacsony (1-es megoldás) vagy közepes teljesítményveszteség (2-es megoldás)árán:
- 1-es megoldás: CPU mikrokódfrissítéssel és a frissítet fordítók használatával újrafordított alkalmazásokkal, programkönyvtárakkal és kernellel
- 2-es megoldás: kizárólag szoftveres megoldással a Retpoline technikát használó frissített fordítók és ezzel újrafordított alkalmazásokkal, programkönyvtárakkal és kernellel

3-as hiba: rogue data cache load (CVE-2017-5754) – Az érintett processzoroknál operációs rendszer javításával – ahogy arról már beszámoltunk: teljesítményvesztés mellett – elkerülhető:
- Linuxnál: KPTI (Kernel Page Table Isolation) nevű patch-készlet foglalkozik a hiba korrigálásával
- a Microsoft a 2018. januári hibajavítással
- az Apple az iOS 11.2, a macOS 10.13.2, és a tvOS 11.2 kiadásokban javítja a hibát
- a Google az Android 2018. január 5-i biztonsági hibajavítással foltozza be a hibát

A hibák abból a szempontból is nagyon kellemetlenek, hogy a CPU-k láthatóan még mikrokódfrissítéssel sem mindig javíthatók. Így a meglévő hibás mechanizmusokat szoftveres javításokkal kell körül bástyázni, amelynek hatására – a felhasználási területtől függően – akár jelentős, 5-30%-os teljesítménycsökkenés tapasztalható a Meltdown hiba esetében, főleg I/O intenzív alkalmazások esetén. A hibák érintik a mobil eszközöket, számítógépeket, a szerveres és a felhős infrastruktúrákat is. Az információszivárgás megvalósulhat egy számítógépen belül, azaz:

a rossz szándékú programok elérhetik más programok által memóriában tárolt adatokat
a virtuális gépen futó rossz szándékú programok elérhetik más virtuális gépek és a host memóriájában tárolt adatokat

A megtalált hibák lényegében a mai modern processzorok sebességét hozó fő ütőkártyák jellegzetességeit használják ki:

a spekulatív végrehajtást, azaz a CPU egy programban megszabott feltételes elágazást biztosító programsorait, a döntéshez szükséges adat adott pillanatban lévő hiánya miatt – becslés alapján – előre elkezdi végrehajtani – ezt használja ki a Spectre
valamint azt a jellegzetességet, hogy a modern processzorok sebességre optimalizáltan, és nem sorrendben hajtják végre az utasításokat (out-of-order) – amelyet pedig a Meltdown nevű hiba használ ki

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Utólag kiderült, hogy még több Intel CPU vált instabillá az új BIOS-októl

A vállalat szerint szinte minden hardver érintett, de már érkezik a javítás.

PROHARDVER! Processzor 2018-01-18 234
Az Intel állítólag felelőtlenül viselkedett a processzorhibák kezelésekor

A történet kissé zavaros, de nagyon úgy tűnik, hogy a gyártó nem fordult az előírásoknak megfelelően időben a hatóságokhoz.

Biztonság 2018-01-29 9
Rendkívüli javítást adott ki a Microsoft az Intel bakija miatt

Mivel mind a működési rendellenességek, mind az adatvesztés kockázata fennáll, a vállalat igyekszik segíteni.

Biztonság 2018-01-29 97
Titkolta a CPU-ik sebezhetőséget az Intel az Egyesült Államok kormánya előtt

A vállalat azzal magyarázta a tettét, hogy a hackerek nem hasznáták ki a biztonsági réseket, de ezt nem tudhatják biztosan.

Biztonság 2018-02-26 36

Előzmények

Ideiglenesen nem települ egyes AMD CPU-khoz a friss Windows biztonsági javítás

A Spectre és a Meltdown sebezhetőségre adott válasz a régi K8 architektúrára épülő processzorokon működésképtelenné teszi a gépet.

Biztonság 2018-01-09 107
Kiadta a Spectre és Meltdown által érintett CPU-i listáját az Intel

Szinte minden érintett, de a javítás csak az elmúlt öt évben megjelent processzorokat védi.

PROHARDVER! Processzor 2018-01-05 478
Két sebezhetőség is pánikban tartja a világot

A Meltdown és Spectre hasonlóan veszélyes, ráadásul a javításuk nem jár majd áldozatok nélkül.

PROHARDVER! Biztonság 2018-01-04 470
Megakadályozná az Intel a Management Engine visszafrissítését

A vállalat a Management Engine 12-höz biztosítana egy hardveres védelmet, aminek egy kis mellékhatása is van, amolyan járulékos extraként.

PROHARDVER! Processzor 2017-12-14 26

Percről percre

Duotts F26 - megoldjuk erőből

ma 1500 watt összeteljesítményű biciklit kaptunk tesztre, amely a legalitás összes határán túl van, kontrollálni nem könnyű, de néha óriási élmény is.

Acer Nitro V 15: amikor az jó ár-érték arány a cél

ph A Nitro sorozatban több, vásárlásra ajánlott notebookot is láttunk már, most az egyik legújabb modellt próbáltuk ki.

Motorola Edge 50 Pro - több Moto-erő kéne bele

ma Érdekes egyveleg a középső Edge 50: a jó tulajdonságai közé becsúszott pár rossz, de vannak szerethető, egyedi megoldásai is.

Harold Halibut teszt

gp Tíz éven át készült bábfilm elevenedik meg a képernyőkön – egy bábfilm, egy leegyszerűsített kalandjáték, és mindenek felett egy mese a boldogság kereséséről.

Samsung Galaxy A35 5G - fordulópont

ma Idén az olcsóbb A-szériás modell sikerült jobban a Samsungnak, keveset kell feláldoznia annak, aki az A55 helyett az A35-öt választja.

Aktív témák