Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Способы защиты от Spectre и Meltdown

Для всех поддерживаемых версий Windows выпущено исправление для уязвимость процессоров Intel, позволяющих взломщикам получить информацию о вашем компьютере, в том числе пароли и другие конфиденциальные данные. В прессе эти уязвимости получили наименования Meltdown и Spectre. В документе ADV180002 |Guidancc to mitigate speculative execution side-channel vulnerabilities компании Microsoft гово­рится:

«Microsoft известно о недавно обнару­женном классе уязвимость, именуемыймом ‘теоретически возможным выполнением команд через сторонний канал’, затронувшем многие современные процессоры и операционные системы, в том числе Intel, AMD и ARM. Эта проблема может коснуться и других систем, таких как Android, Chrome, iOS, macOS, поэтому мы рекомендуем клиентам запросить рекомендации у соответствующих поставщиков». Компания Microsoft выпустила несколько обновлений, чтобы уменьшить угрозу. Кроме того, при­няты меры для зашиты «облачных» служб.

Пока Microsoft не получала никакой информации, указывающей на то, что эти уязвимости использовались для атак на компьютеры наших клиентов.

Компания продолжает работать в тесном сотрудничестве с партнерами по отрасли, в том числе изготовителями микросхем, ОЕМ- производителями оборудования и поставщиками приложений, чтобы защитить клиентов. Чтобы применить все необходимые меры защиты, требуется обновление аппаратных средств, встроенного кода и программного обеспечения, в том числе микрокода, поставляемого ОЕМ -производителям и устройств, а в некоторых случаях и антивирус­ного программного обеспечения. Для взаимодействия с антивирус­ными утилитами требуется обновление ядра, поэтому вы получите это обновление после того, как поставщик антивирусной программы докажет, что способен овладеть ситуацией. Доказательством будет добавление раздела реестра в опе­рационную систему. Если раздел реестра не добавлен, вы не получите обновления.

Если вы хотите наглядно убедиться в готовности своих компьютеров к обновлению, нажмите кнопку Start, введите regedit и нажмите клавишу ввода, чтобы подтвердить строку с повышенными при­вилегиями. Затем нужно перейти к соответствующему разделу реестра. Обратите внимание, что каждый маркер представляет уровень, на который требуется углубиться:

  • НКЕY_LOCAL_M АСНINЕ;
  • SOFTWARE;
  • Microsoft;
  • Windows;
  • CurrentVersion;
  • QualityCompatK

В правой стороне реестра найдите следующие параметры:

Если вы видите эти параметры, значит, поставщик антивирусной программы выполнил необходимое обновление, и исправление можно установить. Если данное значение отсутствует, то ваш компьютер (и, следовательно, поставщик анти­вирусной программы) не готов к обновлению. Не пытайтесь ввести раздел вручную и не загружайте обновление из сайта каталога.

В документе Google можно найти неофициальный список поставщиков, выполнивших необходимое обновление и готовых устранить уязвимости Meltdown и Spectre.

Для Windows 10 обновления следующие:

  • КВ4056892 (https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892) для Windows 101709;
  • КВ4056891 (https://support.microsoft.com/en-us/help/4056891/windows-10-updatc-kb4056891) для Windows 10 1703;
  • KB4056890 (https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890) для Windows 101607;
  • KR4056888 (https://support.microsoft.com/en-us/help/4056888/windows-10-update-kb4056888) для Windows 101511;
  • KB4056893 (https://support.microsoft.com/en-us/help/4056893/windows-10-update-kb4056893) для Windows 10 RTM (для пользователей Long Term Servicing Branch).

Операционные системы Windows 8.1 и Windows 7 также получают внеочередные обновления, но толь­ко по каналу службы обновлений WSUS. Для домашних пользовате­лей будет выпушен обычный нако­пительный пакет обновления.

Для сферы бизнеса:

  • КВ4056898 (https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898) для Windows 1 и Server 2012 R2:
  • КВ4056897 (https://support.microsoft.com/en-us/help/4056897/windows-7update-kb4056897) для Windows 7 и Server 2008 R2.

Мой обычный совет небольшим компаниям — подождать, пока обнаружатся побочные эффекты исправления. Им применение исправлений лучше пока отложить.

Помимо перечисленных обнов­лений, обратите внимание на обновления встроенного про­граммного обеспечения, кото­рые исключают угрозы, возни­кающие из-за Meltdown и Spectre.

По этому вопросу следует обра­титься к поставщикам оборудо­вания.

Теперь плохие новости: после установки обновления может упасть производительность. На некоторых технических сайтах появились сообщения о том, что потери произ­водительности на системах Linux могут достигать 35%.

Если вы хотите выяснить, отразятся ли рассматриваемые меры защиты на производительности вашего компьютера, выполните тест производительности процессора до и после установки обновления. Применяя исправлении к своей рабочей станции, проверьте, нет ли других обновлений встроенного кода, которые вы забыли применить раньше. Это не первая ошибка в наборе микросхем Intel; в ноябре компания опубликовала сведения о нескольких изъянах в микросхемах. Обновления встроенного кода для устранения этих ошибок можно найти на странице рекомендаций компании (https://security-center.mtel.com/advisory.aspx? intelid=INTEL-SA- 00086&languageid=en-fr). Проверьте, нуждаетесь ли вы в обновлении встроенного программного обеспечения, и загрузите средство тести­рования компании Intel (https://downloadcenter.intel.com/download/27150?v=t).

Таким образом, рекомендуется проверить, готов ли ваш компьютер к применению обновления. Когда все будет готово, выполните тестирование, чтобы оценить возможное падение производитель­ности. Проверьте, нет ли сооб­щений о неприятных побочных эффектах обновления, а затем обновите компьютер.

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.