Σοβαρό κενό ασφαλείας των Intel επεξεργαστών της τελευταίας 10ετίας, απαιτεί patch που μειώνει την απόδοση τους

[Banditgr]

Ώπα, η Asrcok έβγαλε ήδη BIOS 1.40 για την z370 Extreme 4!

Και γιατί μου λέγανε οι βλάκες να κατεβάσω το kb4056892, όταν τους ρώτησα αν θα βγάλουν BIOS;

Πάω να το βάλω και ο Θεός βοηθός!

Γιατί ΜΟΝΟ με ενημέρωση BIOS δεν πατσάρεται τίποτα. Για το Spectre χρειάζεται συνδυαστικά να μπει ΚΑΙ το KB4056892 ΚΑΙ να γίνει BIOS update. Το BIOS update απλά ενημερώνει το microcode στην CPU, κατά τη διαδικασία του boot. Εν συνεχεία τα Windows ανιχνεύουν το microcode στην CPU και εφόσον το βρουν σωστό, τότε και μόνο τότε ενεργοποιούν την προστασία στον kernel για το Variant 2 (Spectre mitigation). Αν ΔΕΝ το ανιχνεύσουν δεν ενεργοποιούν το αντίστοιχο κομμάτι του patch και μένεις πατσαρισμένος μόνο για το Variant 3 = Meltdown και μερικώς για το 1.

Επίσης πρέπει να ειπωθεί ότι σύμφωνα με αρκετούς security experts, το Spectre δεν πρόκειται να πατσαριστεί ποτέ στο 100%, εκτός αν αλλάξει ο επεξεργαστής με άλλον που δεν επηρεάζεται από την ευπάθεια (δηλαδή από CPU ουσιαστικά ανύπαρκτη αυτή τη στιγμή και μάλλον για πολύ καιρό ακόμα). Γι' αυτό και άλλωστε τα updates καλούνται ως "mitigation", κοινώς ενέργειες που μειώνουν τη σοβαρότητα ή την επικινδυνότητα της συγκεκριμένης ευπάθειας.

[konig]

Τελικά αυτοί εκεί στην Intel βγάζουν σουρωτήρια.....

Intel AMT Allows BitLocker Bypass In Under A Minute

¨....a new vulnerability in AMT that could allow anyone to bypass BitLocker encryption, BIOS password, TPM Pin, and login credentials on most laptops in less than a minute....."

" As a real world example of how this could be used, this could allow, for instance, border agents to gain access to your laptop remotely after they confiscate it temporarily in the airport to check its contents."

τραγικο εντελως

- - - Updated - - -

We have received reports from a few customers of higher system reboots after applying firmware updates. Specifically, these systems are running Intel Broadwell and Haswell CPUs for both client and data center. We are working quickly with these customers to understand, diagnose and address this reboot issue. If this requires a revised firmware update from Intel, we will distribute that update through the normal channels. We are also working directly with data center customers to discuss the issue.


https://www.techpowerup.com/240556/i...-and-broadwell

[DOU]

Εμεις που εχουμε σαβουροπισι με core2 10ετιας τι ειχαμε τι χασαμε,αυτος που πληρωσε >300€ για i5,i7 κλαιει τα λεφτα του,πανω που ειχα σκοπο να αγορασω νεο desktop,θα το αναβαλω
.

[eyw]

Τελικά αυτοί εκεί στην Intel βγάζουν σουρωτήρια.....

συνωμοσίες.


edit:
Banditgr #376,
ευχαριστούμε για την διευκρίνιση.
microcode μέσω BIOS, καλό, από ποιό generation και μετά γίνεται?

[Banditgr]

συνωμοσίες.


edit:
Banditgr #376,
ευχαριστούμε για την διευκρίνιση.
microcode μέσω BIOS, καλό, από ποιό generation και μετά γίνεται?

Δες αυτό το link: https://downloadcenter.intel.com/dow...code-Data-File

Έχει μέσα μια τεράστια λίστα επεξεργαστών. Το θέμα όμως δεν είναι τι δίνει η Intel αλλά τι δίνει η κατασκευάστρια εταιρεία της μητρικής σου. Για να δώσω ένα παράδειγμα τι εννοώ. Η ASUS ανακοίνωσε ότι τα μοντέλα που θα πάρουν BIOS upgrade είναι τα εξής :

https://www.asus.com/News/V5urzYAT6myCC1o2

[iakoboss7]

γιαυτο και το περνας μονος σου https://www.adslgr.com/forum/threads...41#post6316141

[deniSun]

γιαυτο και το περνας μονος σου https://www.adslgr.com/forum/threads...41#post6316141

Δώσε πόνο...

[psolord]

Γιατί ΜΟΝΟ με ενημέρωση BIOS δεν πατσάρεται τίποτα. Για το Spectre χρειάζεται συνδυαστικά να μπει ΚΑΙ το KB4056892 ΚΑΙ να γίνει BIOS update. Το BIOS update απλά ενημερώνει το microcode στην CPU, κατά τη διαδικασία του boot. Εν συνεχεία τα Windows ανιχνεύουν το microcode στην CPU και εφόσον το βρουν σωστό, τότε και μόνο τότε ενεργοποιούν την προστασία στον kernel για το Variant 2 (Spectre mitigation). Αν ΔΕΝ το ανιχνεύσουν δεν ενεργοποιούν το αντίστοιχο κομμάτι του patch και μένεις πατσαρισμένος μόνο για το Variant 3 = Meltdown και μερικώς για το 1.

Επίσης πρέπει να ειπωθεί ότι σύμφωνα με αρκετούς security experts, το Spectre δεν πρόκειται να πατσαριστεί ποτέ στο 100%, εκτός αν αλλάξει ο επεξεργαστής με άλλον που δεν επηρεάζεται από την ευπάθεια (δηλαδή από CPU ουσιαστικά ανύπαρκτη αυτή τη στιγμή και μάλλον για πολύ καιρό ακόμα). Γι' αυτό και άλλωστε τα updates καλούνται ως "mitigation", κοινώς ενέργειες που μειώνουν τη σοβαρότητα ή την επικινδυνότητα της συγκεκριμένης ευπάθειας.

Πολύ σωστά τα λες.

Το ερώτημα μου ήταν γιατί δεν τα είπε η Asrock σωστά και άφησε να εννοηθεί ότι η λύση είναι το ΚΒ patch. Μάλλον αυτό που λέει ο Sebu είναι το πρόβλημα. Δεν ξέρουν μερικοί τι τους γίνεται.

Τεσπά, μικρό το κακό. Η ουσία είναι ότι κινήθηκαν άμεσα! Άμα δω νέο BIOS και για το P67, ε θα σαλτάρω!

[Mirmidon]

Εγώ πάλι γιατί πιστεύω ότι τα BIOSs τα φτιάχνουν οι ΑΜΙ, AWARD κλπ προσαρμοσμένα στις εκάστωτε ASUS, Gigabyte κλπ;


"...As a matter of course, AMI will provide these Intel CPU microcode patch updates to AMI OEM and ODM customers as soon as they become available from Intel."

[iakoboss7]

την αρχικη βασικη εκδοση (πριν τις παραμετροποιησεις της καθε εταιρειας για την καθε μητρικη) σαφως και την δινει η ami, μετα ομως τις αναβαθμισεις ολες τις κανει η εταιρεια.

βασικα και ενας χρηστης με πολυ ελευθερο χρονο θα μπορουσε σε 1 μηνα να αναβαθμισει καθε μητρικη που εχει βγει... τα εργαλεια, τα microcode και οι οδηγοι ειναι διαθεσιμα σε ολους.

[Mirmidon]

Στο site της ΑΜΙ γράφει πάντως άλλα, για τa Meltdown/Spectre.

[Sebu]

Στο φορουμ της Asus παντως (ROG) στο αντιστοιχο thread πεφτει πολυ κραξιμο απο κατόχους παλαιότερων μητρικών (προς των xx170) που διαμαρτύρονται οτι αν οι μητρικες τους τις οποιες ειχαν αγορασει 200-300+ δολλάρια δεν πάρουν καινούριο BIOS θα διαγράψουν την Asus από τους προτιμώμενους προμηθευτές τους. Από τη μία καταλαβαίνω τον απλό χρήστη. Πήρε πριν 5 χρονια μια μητρική που τότε έκανε 200-250+ ευρώ. Τώρα βέβαια έχει "απαξιωθεί" τεχνολογικά από τις εξελίξεις αλλά για τον χρήστη είναι το μηχανημά του. Από την άλλη όμως καταλαβαίνω και την όποια Asus. Και εγώ έχω ενα παλιο "μουσειακό" Q6600 10ετιας. Και γω θα επρεπε κανονικα να κραζω και να απαιτω bios update. Ποσο εφικτο ομως ειναι για ενα κατασκευαστη μητρικων να απασχολήσει Χ προσωπικό, να ετοιμάσει bios updates για όλες τις "προβληματικές" μητρικες (απο το 1995 και μετά που λεει η Ιντελ οτι υφισταται το σουρωτήρι) και οχι μονο να το γραψει. Το βασικο ειναι να τεσταρει τα bios updates οτι λειτουργουν και δεν δημιουργουν προβληματα. Δλδ θα πρεπει να στησει συνθεσεις υπολογιστων με τις αντιστοιχες μητρικες και chipsets για ποσα χρονια πισω προκειμενου να κανει testing? Το "ευκολο" της υποθεσης ειναι να κανεις inject το microcode μεσα σε ενα bios update. Πολλοι ανυπομονοι χρηστες το εχουν επιχειρησει (με βαση τα οσα διαβαζω στα φορουμς της Asus). Το "δυσκολο" ειναι να εισαι σιγουρος οτι το bios που εφτιαξες θα δουλεψει και δεν θα κανει ζημια στον υπολογιστη. Ειδικα σε παλαιοτερες μητρικες που δεν ειχαν fail safe bios (2η εκδοση για επαναφορα) προσωπικα δεν θα το επιχειρουσα να περασω microcode μονος μου. Αν λοιπον φτιαξεις bios ως Asus. Gigabyte, MSI κτλ και το διανείμεις ανελεγκτο και παει ο χρηστης να το περασει και του brick-αρει την μητρικη? Απο εκει που "φοβαταν" οτι θα μεινει με ενα απατσάριστο/απροστατευτο μηχανημα τωρα θα εχει μεινει χωρις καθολου μηχανημα με μονοδρομο το στησιμο ενος καινουριου. Πιο ειναι χειροτερο πληγμα για ενα vendor μητρικων? Να υποστει το οικονομικο κοστος να φτιαξει bios updates για ολες τις μητρικες του απο το 1995 και μετά τα οποια πριν τα διαθεσει θα τα εχει ελεγξει ενδελεχώς, να υποστηριξει μονο τις μητρικες της τελευταιας 5ετιας ή να δωσει bios updates ελεγμένο στα τελευταιας 5ετιας και ανελεγκτο (your responsibility) στους 1995-2012?? Για εμενα το "κοστος" θα επρεπε να μετακυλιστει απο τους κατασκευαστες μητρικων και την Microsoft στην Ιντελ (αντι αγωγων, μηνυσεων κτλ).

[deniSun]

Ας μην πάμε σε ακρότητες πχ 10ετίας μητρική κλπ.
Αλλά το να έχεις μια μητρική 5-6 χρόνια δεν νομίζω ότι είναι παράλογο να ζητάς support.
Και δεν μιλάμε για οποιοδήποτε support αλλά για κάτι πολύ σοβαρό.
Αν λοιπόν η κάθε Χ-εταιρεία θέλει να σέβεται τον πελάτη της θα πρέπει να βρει τρόπο να το υποστηρίξει.
Και δεν βάζω καν το χρηματικό όριο που δαπανήθηκε για την απόκτηση της μητρικής ως κριτήριο για την υποστήριξη.
Εδώ θα φανούν ποιες εταιρείες προσφέρουν πραγματικό support και ποιες όχι.
Σίγουρα κάποιες θα χάσουν μεγάλο μερίδιο την επόμενη μέρα.

[iakoboss7]

μιας και αναφερεις τον q6600... δεν επηρεάζεται απο meltdown το 775, δεν θα δωσει ουτε η ιδια η intel microcode γιατι δεν υπαρχει λογος, ο τελευταιος microcode του q6600πχ ειναι του 2010, των q9xxx ειναι απο το 2015 (τον οποιο και μολλις περασα στο δικο μου).

sebu το bios που θα "φτιαξεις" εσυ (δλδ θα περασεις τον microcode) ειναι οσο ασφαλες ειναι και το επισημο που δινει η καθε εταιρεια... ο ιδιος ακριβως κίνδυνος υπαρχει σαν να εκανες οποιαδηποτε "επισημη" αναβαθμιση στο bios σου (δλδ ουσιαστικα να κλεισει το ρευμα εκεινα τα 10 δευτερολεπτα).

μου φαινεται εχεις λαθος ιδεα για το τι ειναι το bios και ποιος ειναι ο κίνδυνος να το εγκαταστησεις (η και να περασεις τον μικροκωδικα).

- - - Updated - - -

denisun απλα θα συνενοηθουν ολες μαζι μεχρι ποια σειρα να δωσουν bios update και το θεμα εληξε.

[Mirmidon]

Ας μην πάμε σε ακρότητες πχ 10ετίας μητρική κλπ.
Αλλά το να έχεις μια μητρική 5-6 χρόνια δεν νομίζω ότι είναι παράλογο να ζητάς support.
Και δεν μιλάμε για οποιοδήποτε support αλλά για κάτι πολύ σοβαρό.
Αν λοιπόν η κάθε Χ-εταιρεία θέλει να σέβεται τον πελάτη της θα πρέπει να βρει τρόπο να το υποστηρίξει.
Και δεν βάζω καν το χρηματικό όριο που δαπανήθηκε για την απόκτηση της μητρικής ως κριτήριο για την υποστήριξη.
Εδώ θα φανούν ποιες εταιρείες προσφέρουν πραγματικό support και ποιες όχι.
Σίγουρα κάποιες θα χάσουν μεγάλο μερίδιο την επόμενη μέρα.

Έτσι είναι. Αν θέλουνε να ξαναδούν χρήματα να κάτσουν στον ΒΙΟS emulator και να περάσουν το microcode που δίνει η Intel για όλους τους επεξεργαστές. Το πρόβλημα δεν είναι εκεί. Το πρόβλημα για μένα είναι ότι δεν διαθέτουν τον χρόνο που χρειάζεται, για να τεστάρουν όπως θα έπρεπε τα πάντα.