Nuova falla di sicurezza nelle CPU Intel (Spectre e Meltdown)

[anthontex]

Io non ho ben capito.
Ho letto in un post che, oltre a Intel, dovrebbe riguardare anche cpu AMD (e io ho questa).
Ma tutte o no? E se no, come si fa a capire se la propria cpu è toccata dal problema?
Ad ogni modo, la patch viene rilasciata solo con windows update o anche in altri modi? E viene rilasciata a tutti (anche chi potrebbe non essere toccato dal problema)?
Insomma, in poche parole ho capito ben poco...

Edit: il fatto della cpu Amd l'ho nel comunicato di google.
Ora ho letto un articolo (di un link che sta nel primo post) che dice che le cpu AMD non sono toccate! E quindi? Chi ha ragione?

Ci sono due vulnerabilità diverse (trattate in questo thread e dai report stessi): Spectre e Meltdown. La prima riguarda tutti i produttori, la seconda, anche se qualche dubbio rimane (leggendo il paper), affligge Intel. Per sistemare Meltdown, quindi quella Intel, è necessario ricorrere ad un fix che in alcuni casi può portare ad un calo di prestazioni dal 5 al 30%.
Attualmente i vari sistemi operativi si sono mossi per chiudere questa falla, quindi installando gli update da windows update ti verrà applicato il fix.
Ora se si applica indistintamente il fix sia con processori AMD che Intel, in entrambi i casi si avrà un calo prestazionale: ma, ti faccio l'esempio con linux, visto che i sorgenti sono di dominio pubblico ed è possibile controllare cosa succede, se all'inizio erano stati trattati tutti i processori come non sicuri, attualmente (ieri) è stata inviata una patch per limitare il fix ai soli processori Intel, e quindi lasciare quelli AMD "non limitati". Patch trovabile qui https://github.com/torvalds/linux/commit/694d99d40972f12e59a3696effee8a376b79d7c8
Con Windows 99,9999/100 succede lo stesso ovvero se hai AMD il fix non viene applicato (per il Meltdown sto sempre parlando) con Intel si invece..


EDIT: Esattamente anche con Windows il fix funziona esattamente così se hai AMD non viene applicato

 

[Bobbys]

Disponibile fix per windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

https://support.microsoft.com/it-it/help/4056892/windows-10-update-kb4056892

 

[LadyJay]

Come puoi vedere il problema dal primo post e successivi di Ercolino è molto esteso, basterà mettere la patch quando te la proporrà.

Il windows update fa una verifica di sistema su cosa hai o no, altrimenti ti troveresti anche degli aggiornamenti, dei driver ad esempio, che non ti interessano (vedi schede video o altro)

Scusa, ma ancora non ho capito. Se dopo la verifica di WU la mia cpu dovesse essere a posto, non dovrei ritrovarmi la patch proposta (e quindi poi installata)? Ho capito bene o no?

 

[anthontex]

Per chi ha windows ed è curioso di provare c'è già lo script per powershell che fa un riassunto sulla situazione appena provato su CPU intel:

Dove come c'era da aspettarsi Hardware requires kernel VA shadowing: True

EDIT: Spero sia chiaro così: il fix verrà installato da tutti indistintamente,poi se è necessario (ovvero si ha una CPU Intel), windows lo abiliterà automaticamente, o lo terrà disattivo nel caso di CPU AMD.
EDIT2: Dopo aver applicato l'aggiornamento da Update si avrà questa situazione:

 

[ERCOLINO]

Scusa, ma ancora non ho capito. Se dopo la verifica di WU la mia cpu dovesse essere a posto, non dovrei ritrovarmi la patch proposta (e quindi poi installata)? Ho capito bene o no?

La patch viene installata a prescindere dal tipo CPU

Dovete solo installarla quando disponibile.

Ripeto questa non é una normale patch ma una modifica importante del kernel windows, linux e Mac

 

[Bobbys]

Disponibile fix per windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

https://support.microsoft.com/it-it/help/4056892/windows-10-update-kb4056892

Disponibile fix per windows 7
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

https://support.microsoft.com/it-it/help/4056897/windows-7-update-kb4056897

 

[Bobbys]

Disponibile fix per windows 8.1
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

https://support.microsoft.com/it-it/help/4056898/windows-81-update-kb4056898

 

[ERCOLINO]

Google interverrà anche a livello browser per mitigare il problema

Current stable versions of Chrome include an optional feature called Site Isolation which can be enabled to provide mitigation by isolating websites into separate address spaces

http://www.chromium.org/Home/chromium-security/site-isolation

Chrome 64, due to be released on January 23, will contain mitigations to protect against exploitation.

Additional mitigations are planned for future versions of Chrome
https://www.chromium.org/Home/chromium-security/ssca

 

[marcobremb]

Disponibile aggiornamento da WU per Windows 10

 

[areggio]

Quindi la patch di Windows Update viene rilasciata a chiunque, anche a chi potrebbe NON essere toccato dal problema?

A occhio e croce, a meno che non hai un pc vecchio come il cucco, ci sono dentro tutti, quindi mettiti pure il cuore in pace...

 

[LadyJay]

Disponibile fix per windows 8.1
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

https://support.microsoft.com/it-it/help/4056898/windows-81-update-kb4056898

Ma già disponibile in automatico?
Perché attorno alle 11 windows update (io ho win 8.1) ha fatto una ricerca automatica ma non è venuto fuori nulla...


Dopodiché non ho quasi capito nulla di quello che è scritto in molti post!
Dovrei aver capito che: la patch sarà rilasciata a tutti, anche a quelli che in teoria non dovrebbero essere toccati dal problema; questa patch dovrebbe rallentare le prestazoni del pc.

 

[anthontex]

La patch viene rilasciata a tutti? Si
È già stata rilasciata? Si
La patch INSTALLATA da tutti influisce sulle prestazioni anche per chi non ha intel? No

 

[areggio]

La patch viene rilasciata a tutti? Si
È già stata rilasciata? Si
La patch INSTALLATA da tutti influisce sulle prestazioni anche per chi non ha intel? No

Vabbè...sei sicuro al 100%?
Perchè non avevo sentito sinora notizia certa che escluda i processori AMD.

 

[anthontex]

Vabbè...sei sicuro al 100%?
Perchè non avevo sentito sinora notizia certa che escluda i processori AMD.

Si se guardi qualche post mio fa noterai le foto con lo script eseguito: nel mio caso con cpu intel ho Hardware requires kernel VA shadowing: True ed è quello che limita le prestazioni, su AMD dovrebbe uscire false perchè non ne sono affetti e quindi infatti non essere in funzione questa modalità.

Per chi volesse verificare per conto proprio se sono installate le patch e cosa sta facendo il sistema può (testato con windows 10 fare così):

1. Premere il tasto Windows e nel campo di ricerca digitare "Powershell"
2. Click Destro su "Windows Power Shell" e cliccare su "Esegui come amministratore"
3. Quando si apre la shell digitare prima: "Install-Module SpeculationControl" e premete invio
4. Alla domanda successiva "Archivio non attendibile" rispondere S e premere invio (semplicemente l'archivio non è firmato)
5. Ora digitare "Get-SpeculationControlSettings" premete invio e vedere che risultati vi escono
6. Per finire date un "Set-ExecutionPolicy RemoteSigned" e premete invio, come sopra rispondere con una S e premere invio...(quest'ultimo passo che alcuni non menzionano serve per accettare solo archivi firmati che erano stati disabilitati temporaneamente al punto 4

Se vi esce "Windows OS support for kernel VA shadow is present: True" ovviamente la patch è stata installata
Se nella riga "Hardware requires kernel VA shadowing: True" significa che avete processore Intel e una volta installate la patch potreste avere (anche se dubito nell'uso quotidiano) qualche calo di prestazione...

 

[LadyJay]

La patch viene rilasciata a tutti? Si
È già stata rilasciata? Si
La patch INSTALLATA da tutti influisce sulle prestazioni anche per chi non ha intel? No

Oh, grazie. Preciso e conciso!
In realtà, altra piccola precisazione: è stata rilasciata in che modo? Anche tramite windows update? Perché da una ricerca fatta da WU attorno alle 11 non è risultato nulla...

 

[areggio]

Da ignorante quale io sono, ma non so chi su questo argomento abbia realmente gli strumenti per decidere se AMD sia affetta o no, mi devo basare su notizie giornalistiche/forum.
Finora, come ho detto prima, sei l'unico che fa questa distinzione, o meglio sei l'unico che la fa adesso, perchè ciò era stato detto subito, poi è uscito che tutti i processori, tranne un paio vecchiotti, ne erano affetti.
Dunque, da bravi cultori del senso critico, abbiamo due vie da percorrere:
1. monitorare il web se ci sono novità.
2. (ottima idea che hai avuto tu) vedere cosa fa quella patch.

Da quello che dici si evince che in effetti non si applica a tutti (true/false), ma non mi sembra che sia immediatamente capibile a chi non si applica (quello l'hai detto tu).
Per cui, per essere sicuri, bisogna che qualcuno degli amici qui che abbia sicuramente un processore AMD verifichi nel modo che hai detto tu cosa ha fatto a lui l'aggiornamento

Mi pare che in uno dei miei pc lo potrei fare, ma sono fuori fino a sera tarda...

 

[LadyJay]

Per cui, per essere sicuri, bisogna che qualcuno degli amici qui che abbia sicuramente un processore AMD verifichi nel modo che hai detto tu cosa ha fatto a lui l'aggiornamento

Io ho AMD ma non credo proprio di essere in grado di fare ciò (non ho capito assolutamente niente di ciò che ha scritto l'altro utente a tal proposito)! Quindi magari ci penserà qualcun altro che ha AMD!
Detto ciò io non ho neanche ricevuto l'aggiornamento, nonostante sia stato scritto che è uscito anche quello per win 8.1 (che è la versione win che ho io). Anche se in un articolo che ho letto poco fa, hanno scritto che l'aggiornamento sarebbe uscito solo per win10, mentre per le versioni precedenti uscirebbe il 9 gennaio...

 

[ERCOLINO]

Non è ancora disponibile sul Windows update per Win 7 e 8.1

 

[anthontex]

Oh, grazie. Preciso e conciso!
In realtà, altra piccola precisazione: è stata rilasciata in che modo? Anche tramite windows update? Perché da una ricerca fatta da WU attorno alle 11 non è risultato nulla...

Si, stamattina update me l'ha installata, arriverà anche a te sicuramente. EDIT: Do troppo per scontato che si abbia Windows 10 come ha detto Ercolino per ora è stata rilasciata solo per Win10

Da ignorante quale io sono, ma non so chi su questo argomento abbia realmente gli strumenti per decidere se AMD sia affetta o no, mi devo basare su notizie giornalistiche/forum.
Finora, come ho detto prima, sei l'unico che fa questa distinzione, o meglio sei l'unico che la fa adesso, perché ciò era stato detto subito, poi è uscito che tutti i processori, tranne un paio vecchiotti, ne erano affetti.

Per quanto riguarda la distinzione, fino ad ora tutti hanno parlato di due vulnerabilità distinte: Spectre e Meltdown, la prima affligge tutti i produttori, la seconda solo Intel le info tecniche sulle due le trovi qui, nonché i due "paper" redatti da coloro che le hanno scoperte. Per sistemare la seconda Meltdown, è purtroppo necessaria una modifica al kernel del sistema stesso, sia esso Windows Linux o macOS. Modifica che causa l'impatto sulle prestazioni (anche se i numero variano molto in base all'utilizzo che si fa del pc), il famoso 5-30%.
Che questa Seconda vulnerabilità affligga solo Intel lo si può trovare scritto oltre che qui, anche nel paper qui Dove a fine testo c'è un paragrafo in cui dicono che sebbene non siano riusciti a ricreare la vulnerabilità su AMD qualche dubbio gli rimane comunque, tuttavia non essendo riusciti (e neppure quelli in Google) considerano AMD come sicura.
Da questo infatti, si ha che la patch rilasciata da microsoft attiva la modalità "Kernel VA shadow" solo con processori Intel.. Ora su questo forum nessuno con AMD ha provato ma su altre fonti ci sono diversi screenshot in cui tutti quelli con AMD hanno "Hardware requires kernel VA shadowing: False" Ma questo era ovvio perchè non ha senso attivare quella modalità se il processore non è affetto dalla vulnerabilità.
Onestamente io utilizzo relativamente poco Windows, però compilo spesso kernel per linux e qui succede esattamente con per Windows ovvero che il fix si applica ai soli processori AMD. Chiaramente essendo Linux open Source si può andare a vedere il sorgente e quindi vedere l'effettivo comportamento diverso che ha il kernel tra Intel e AMD: nello specifico ri-linko la patch postata ieri da un Ingegnere AMD che disattiva (per i loro processori) la modalità PTI, modalità che risolve il bug (per intel che ne è affetta) ma porta al calo di prestazioni: https://github.com/torvalds/linux/commit/694d99d40972f12e59a3696effee8a376b79d7c8
La patch è molto semplice:

if (c->x86_vendor != X86_VENDOR_AMD)
 		setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

E in poche parole dice al kernel "se il produttore non è AMD allora considera la CPU come non sicura (quindi abilita tutte le contromisure PTI)...

Per quanto riguarda la procedura postata sopra dovrebbe essere descritta anche dal supporto microsoft ora se trovo il link lo aggiungo...

EDIT: eccolo pure in Italiano lo hanno tradotto https://support.microsoft.com/it-it...or-it-pros-to-protect-against-speculative-exe

 

[areggio]

Si, stamattina update me l'ha installata, arriverà anche a te sicuramente.

Per quanto riguarda la distinzione, fino ad ora tutti hanno parlato di due vulnerabilità distinte: Spectre e Meltdown, la prima affligge tutti i produttori, la seconda solo Intel le info tecniche sulle due le trovi qui, nonché i due "paper" redatti da coloro che le hanno scoperte. Per sistemare la seconda Meltdown, è purtroppo necessaria una modifica al kernel del sistema stesso, sia esso Windows Linux o macOS. Modifica che causa l'impatto sulle prestazioni (anche se i numero variano molto in base all'utilizzo che si fa del pc), il famoso 5-30%.
Che questa Seconda vulnerabilità affligga solo AMD lo si può trovare scritto oltre che qui, anche nel paper qui Dove a fine testo c'è un paragrafo in cui dicono che sebbene non siano riusciti a ricreare la vulnerabilità su AMD qualche dubbio gli rimane comunque, tuttavia non essendo riusciti (e neppure quelli in Google) considerano AMD come sicura.
Da questo infatti, si ha che la patch rilasciata da microsoft attiva la modalità "Kernel VA shadow" solo con processori Intel.. Ora su questo forum nessuno con AMD ha provato ma su altre fonti ci sono diversi screenshot in cui tutti quelli con AMD hanno "Hardware requires kernel VA shadowing: False" Ma questo era ovvio perchè non ha senso attivare quella modalità se il processore non è affetto dalla vulnerabilità.
Onestamente io utilizzo relativamente poco Windows, però compilo spesso kernel per linux e qui succede esattamente con per Windows ovvero che il fix si applica ai soli processori AMD. Chiaramente essendo Linux open Source si può andare a vedere il sorgente e quindi vedere l'effettivo comportamento diverso che ha il kernel tra Intel e AMD: nello specifico ri-linko la patch postata ieri da un Ingegnere AMD che disattiva (per i loro processori) la modalità PTI, modalità che risolve il bug (per intel che ne è affetta) ma porta al calo di prestazioni: https://github.com/torvalds/linux/commit/694d99d40972f12e59a3696effee8a376b79d7c8
La patch è molto semplice:

if (c->x86_vendor != X86_VENDOR_AMD)
 		setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

E in poche parole dice al kernel "se il produttore non è AMD allora considera la CPU come non sicura (quindi abilita tutte le contromisure PTI)...

Per quanto riguarda la procedura dovrebbe essere descritta anche dal supporto microsoft ora se trovo il link lo aggiungo...

Mi sembra convincente, comunque correggi l'errore di battitura che hai fatto
Che questa Seconda vulnerabilità affligga solo AMD
Volevi dire Intel, penso