Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, rady nebo tipy k IT, jste tu správně. Najdete zde převážně články k produktům a technologiím společnosti Microsoft – operační systémy, servery, virtualizace, sítě, správa, ale i cloud. Občas přidám i nějaké jiné další zajímavosti.

Leden 2018
PoÚtStČtSoNe
« Srp  
1234567
891011121314
15161718192021
22232425262728
293031 

Rubriky


Bezpečnostní chyby Meltdown a Spectre v procesorech

Lukáš BeranLukáš Beran

Bezpečnostní chyba Meltdown (CVE-2017-5754) se týká všech procesorů Intel vyrobených od roku 1995 kromě starších procesorů Intel Atom a procesorů Itanium. Tato chyba v procesorech způsobuje, že je možné přečíst privilegovanou část paměti, což je velmi zásadní bezpečnostní riziko.

Druhá bezpečnostní chyba Spectre (CVE-2017-5753 a CVE-2017-5715) se týká všech procesorů Intel, AMD i ARM. Kromě počítačů a serverů jsou tedy ohroženy i mobilní telefony, tablety a mnoho dalších zařízení s ARM procesory. Chyba Spectre je zjednodušeně velmi podobná chybě Meltdown, protože umožňuje postranním kanálem přečíst obsah cizí paměti (paměť patřící jiným procesům).

Dobrou zprávou ale je, že aktualizace systému, které zásadním způsobem eliminují možnosti zneužití chyby, jsou již dostupné pro Windows, macOS, iOS, Android i Linux. Záplaty přímo na úrovni hardware se připravují a například Intel oznámil, že vydá opravu pro všechny procesory vyrobené během posledních 5 let do půlky ledna 2018. Skutečná oprava bez dopadu na výkon znamená ale změnu architektury procesorů a bude tedy dostupná až u nových modelů.

Aktualizace opravující zranitelnosti Meltdown a Spectre

Pro podporované desktopové systémy Windows je aktualizace dostupná pod KB4073119. Pro serverové systémy je dostupná pod KB4072698.

Stav u svého systému si můžete zjistit pomocí PowerShell. Nejprve je nutné povolit spouštění vzdáleně podepsaných skriptů

Nyní již můžeme nainstalovat a importovat potřebný modul

V tuto chvíli již můžeme systém a hardware přímo otestovat

Součástí výpisu je i doporučení na další akce, jako například instalace aktualizace systému nebo BIOS/firmware výrobce zařízení. Ideální stav je takový, že by celý výpis měl být zelený – v takovém případě máte nainstalované jak bezpečnostní aktualizace systému, tak i aktualizace BIOS/firmware od výrobce hardware. Výrobci hardware budou své aktualizace uvolňovat snad v co nejbližší době. Microsoft například na Surface uvolnil aktualizaci firmware spolu s aktualizací systému. Lenovo vypustilo minimálně na některé modely (určitě na T470s) aktualizaci BIOS již 9. ledna.

Dopady Meltdown a Spectre na výkon

Protože aktualizace deaktivuje funkci, kterou procesory využívají pro výrazné zrychlení některých operací, nabízí se samozřejmě otázka, jaký reálný dopad na výkon to bude mít.

Naštěstí se ukazuje, že reálný dopad na výkon je velmi malý u běžného použití. Při testech ve hrách není rozdíl ve výkonu žádný, stejně tak je to i u práce s videem a fotkami. U běžné kancelářské práce také není rozdíl prakticky žádný, maximálně v jednotkách procent. Rozdíl je patrný snad jen při práci s archivy, kde může dojít ke snížení rychlosti zhruba o 10 %. Největší výkonnostní problém je to ale na serverech, kde hlavně u I/O operací (databázové a souborové servery) dochází k propadu výkonu o 35 – 40 %, což už je velmi citelný rozdíl.

Vedlejší účinky po aktualizaci

Zranitelnosti, potažmo opravy zranitelností, s sebou nenesou jen negativní dopad na výkon procesorů, ale také další problémy. Poté, co Microsoft vydal záplaty na operační systém Windows, se objevily problémy na počítačích se staršími verzemi antivirových programů. Antiviry jsou totiž z principu svého fungování „zabydlené“ velmi hluboko v systému a tudíž musí být plně kompatibilní s operačním systémem a všemi jeho aktualizacemi, podobně jako je to u ovladačů. Antiviry také ke své činnosti potřebují volat některé instrukce jádra, což ale právě tyto aktualizace znemožňují. Pokud by nějaká aplikace po nainstalování této bezpečnostní aktualizace systému volala některé instrukce jádra, mohlo by to způsobit pád systému do modré smrti (BSOD).

Proto antivirové programy v nových verzích zapisují speciální klíč do registru Windows a před instalací této bezpečnostní aktualizace Windows Update ověří, že je dané zařízení připraveno na aktualizaci právě na základě přítomnosti tohoto klíče. Pokud klíč v registru zapsaný není, aktualizace Windows se nenainstaluje. Všechny aktuální verze běžně používaných antivirových programů jsou již kompatibilní a zapisují potřebné informace do registru Windows. Což samozřejmě platí i o integrovaném Windows Defender, který je předinstalovaný na všech počítačích s Windows 10.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.