Názory k článku Pozor, díra Meltdown není opravena na 32bitových systémech. Zranitelnost hlásí Qualcomm
-
Cela zprava je velmi podivna, bylo by moudre, kdyby autor dohledal inforamce a zpravu updatoval nebo vysvetlil.
Spectre - reseno na urovni OS (vyreseno, patch vydan) a na urovni aplikaci (protoze nejvetsi zneuziti hrozi pres wb prohlizec, tak nas zajimaji nejvice: Firefox ma opravu nasazenou, Chrome ???, Edge ???)
Meltdown - musi byt zaplatovan OS i mikrokod, jedno bez druheho nefunguje. OS zaplatovan jak linux tak Windows, ceka se na zaplatu mikrokodu ze strany Intelu, do te doby tam dira stale bude.
Co jsem se z clanku nedovedel, ale chapu to tak, ze zaplata na urovni OS funguje jen na 64-bit systemech? Zaplatu mikrokodu dnes Intel potvrdil, ze ma hotovou a zacne ji v nejblizsi dobe distribuovat. I tato zaplata se tyka jen 64-bit nebo jak to teda je? -
Ohledně 32bit mě to napadlo už před pár dny, ale tak nějak jsem čekal, že to mají vyřešené. Možná by to mohli řešit přes PAE, ale pak bude pokles výkonu ještě větší. Pro Intel nemožnost opravit Meltdown může znamenat největší problém v jeho dějinách, už vidím zástupy uživatelů, jak chtějí náhradu škody. Pro žalobce je to velmi dobré střelivo.
Mimochodem, v listopadu byla zveřejněna informace o další díře v Intel Management Engine, a to od verzí 6.x až do současné. Reakce Intelu na to byla taková, že verze 6.x a 7.x nebude opravovat - uživateli poraď si sám.
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Stejně tak se Intel vykašlal na update ovladačů proti zranitelnosti pro starší n-kové WiFi karty, kterých se v noteboocích stále používá velké množství:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr -
ASUS patrně vůbec nebude updatovat BIOSy pro čipsety řady 80 (Haswell) a 90 (Broadwell):
https://www.asus.com/News/V5urzYAT6myCC1o2 -
Vylepšený skript pro PowerShell, který ukáže přítomnost opatření i pro rozšířený software:
https://github.com/vrdse/MeltdownSpectreReport -
Je to jinak.
Spectre - oprava vyžaduje úpravu microcode, úpravu OS a úpravu příslušného software.
Meltdown - oprava přes změnu memory managementu, čistě OS záležitost. Chyba se netýká AMD, tj. tam zůstává původní (rychlejší) způsob práce s pamětí.
Chrome nasadí opravu v půlce ledna, nyní je možné zapnout experimentální nastavení, které oddělí jednotlivé webové stránky - stačí povolit nastavení chrome://flags/#enable-site-per-process -
Otázkou je, co je pravda. Sám jsem změřil -7 %.
V diskuzi na Reddit kdosi měřil výsledky ve hrách. Zatímco průměry fps nijak zásadně neutrpěly, minima spadla na polovinu.
Na Živě kdosi v diskuzi tvrdí, že jejich databázi to zpomalilo o 30-60 %.
Počkejme si na finální opravy microcode, pak můžeme soudit. -
Jan Olšan (neregistrovaný)
Pravděpodobně beze změny. To je fungování spočívající dost hluboko v CPU. Může být, že třeba u toho Spectre budou mít CPU už z výroby ten nový mikrokód, ale celkově budou asi pořád spoléhat na ty softwarové opravy. Nějaké rychlé opravy hardwaru by asi mohly být jenom přes "chicken bits", teda skrze vypnutí nějakých optimalizací a funkcí = se ztrátou výkonu.
Přijde mi to jako věc, co se bude muset změnit při návrhu další architektury. Ten Spectre to samé, ale tam to bude pravděpodobně potřebovat o dost víc práce. -
Jan Olšan (neregistrovaný)
Meltdown není řešen mikrokódem, jen OSem.
Opravy v mikrokódu se týkají Spectre. Respektive to nejsou ani tak opravy, ale je to exponování dřív nepřístupných MSR bitů, které umožní, že u procesoru bude možné dočasně deaktivovat to nebezpečné chování prediktoru větvení (je to pro Spectre 2). Tj. by to mělo fungovat tak, že před vstupem do jaderného kódu se prediktor "vypne" (nepřesné) a po návratu se zase zapne. Bude to stát nějaký výkon, ale ne tolik, jako kdyby se prediktor musel úplně vypnout, to by výkon degradovalo neskutečně.
Zatím ale není jasné, jak moc CPU bude ten nový mikrokód potřebovat a co bude když ho nedostanou, takže jsem o tom ještě nepsal - snad do bude brzo jasnější. -
Jan Olšan (neregistrovaný)
Výkon bude ještě asi klesat po nasazení těch firmwarových oprav pro Spectre 2, ale ještě není jasné, kde všude to nastane, jisté je to zatím pro Skylake a zdá se, že firmware bude ještě minimálně pro Ryzen (i když Red Hat to prezentuje tak, že je to "pro jistotu" - ale pro nás je důležitý spíš to, jestli to bude on by default nebo ne, než jak moc je to třeba).
Takže na závěry je ještě brzo, i když samozřejmě bude stát za to změřit samostatně dopady obou věcí. Ale celkově nás dlouhodobě zajímá to, kolik bude celková cena. -
Zacinaji se objevovat hlaseni o problemech s MS patchem pod Windows se starsim AMD HW. Asi by bylo dobry to nechat napred uzrat a nedelat MS beta testera..
https://answers.microsoft.com/en-us/windows/forum/windows_10-update/after-installation-of-kb4056892-boot-failure-after/6c015632-2a45-4725-a882-f231f8c88f36
https://answers.microsoft.com/en-us/windows/forum/windows_10-update/january-3-2018-security-update-for-windows/5ea55bf0-648a-4f64-b0f6-7ddf0c1a3473 -
Hodně to zpomaluje IO. Takže ano - DB to může brutálně zpomalit. Na druhou stranu otázka, jestli DB server je to správné místo, kde záplatu dávat. I tak by neměl být vystaven do internetu, takže by tam měly běžet jen čisté věci.
Druhá věc, pokud to běží ve virtuálu na sdílené mašině. Tam to může dávat smysl. -
Jan Olšan (neregistrovaný)
Na serverech věřím, že to +-nula nebude.
https://twitter.com/CCP_SnowedIn/status/948980181577875456
https://twitter.com/chanian/status/949457156071288833
V tom předchozím článku jsem linkoval ten graf z toho herního serveru: https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update
Na desktopu bych ty propady výkonu neřešil a prostě updatoval, je lepší mít jistotu. Zpomalené I/O na něm není zas tak podstatná věc, IMHO. -
Jan Olšan (neregistrovaný)
To je tím, že je to ohromnej zásah do architektury OS, správa paměti je úplnej základ a normálně se tam šahá s velkou rozvahou a velkým testováním. Ty regrese jsou myslím i na Linuxu. Zhoršená stabilita se asi dala čekat.
Některý ty komentáře hned říkaly, že změna jako kPTI v Linuxu by se normálně dělala třeba rok a patche by šly několika kolečkama testování, ne hup, tady to je, šup s tím do late-RC (!) verze. Tady holt nebyl čas, byl to prostě kritickej problém. Ostatně i teď jsou lidi, kteří to nechápou a říkaj, že tu zranitelnost schovávali dýl kvůli NSA a podobný nesmysly. Nechtěl bych ale vidět, kdyby to objevil nějakej cvok a dal na to jen takovou tu 90denní lhůtu a pak bezohledně ven, nebo to dokonce vypustil hned bez embarga... -
Tady jsou nejake dalsi informace tykajici se Win10. Muze dochazet
- problemy s Browserem
- nefunkcni nektere programy
- KB4056892 nelze nainstalovat
- problem se znefunkcnenim win10 instalace na starsich amd sestavach
http://windowsreport.com/kb4056892-issues/ -
hnizdo (neregistrovaný)
Pro spectre uz je firmware venku, a zadna zmena:
https://www.techspot.com/article/1556-meltdown-and-spectre-cpu-performance-windows/
Jen benchamrky ssd vykazuji velke fluktuace, zbyva zjistit jestli je to skutecne zmenenym chovanim cpu nebo OS. Uz ted panuji znacne pochybnosti, ze branch prediction cpu muze ovlivnovat prenosy po PCI-E/nvme (nemuze) a jedna se tedy o zalezitost OS, ktery bude muset zjevne zmenit metodu prace s I/O vzhledem ke zmenam v rizeni pameti a jadra, na coz evidentne nebyl cas. -
Pokud nevydají BIOSy, budu to řešit přes update microcode z Windows. To je proveditelné, byť je to opruz. Případně by sám Microsoft mohl vydat update pro Windows s novým microcode - facilita pro tuto funkci v systému je a v minulosti už toho párkrát využili (knihovny mcupdate_GenuineIntel.dll a mcupdate_AuthenticAMD.dll). Modifikovat BIOSy se mi nechce, to je pracné a rizikové. Bohužel asi Core 2 pošle Intel úplně ke dnu a nový microcode pro něj nebude, takže tam asi smůla a tyto počítače budou mít slabší bezpečnost.
Patch by podle mého instalován měl být, pokryje Meltdown. Microcode update je pro pokrytí Spectre. Ty patche se navíc dají zneaktivnit záznamem v registrech. -
Tohle neni ani nahodou pravda, tombomino ma pravdu, ze z nas delaji beta testery. A bohuzel se ukazuje, jak je system aktualizaci Win10 spatny. Sam jsem pusobil tady a jeste i jinde jako obhajce Win10, ale ted jsem rad, ze mam i Win7 a pracuju z nich. Na Win7 mam windows update vypnutej a jsem v pohode. Ty chyby sice ohrozujou vsechny, ale pravdepodobnost ohrozeni domacich uzivatelu je naprosto nepatrna, tady jde hlavne o databaze a servery vystrcene do internetu, dejme tomu na kazdem redakcnim systemu mate SQL a podobne, Na techto pocitacich se nutne musi spechat, jak to jen jde, ale u domacich uzivatelu melo byt ponechano minimalne na jejich rozhodnuti a ne ze Microsaoft znefunkcni lidem pocitace kvuli nepovedenemu patchi!!!
-
Problém benchmarků je, že většinou měří jedinou operaci. Pokud pustím hru, ona si nejdřív natáhne data do paměti a pak s nimi pracuje bez volání systémových služeb. Pokles výkonu se tedy neprojeví. Pokud ale k oné hře poběží něco na pozadí, třeba komprimace (byť i s nízkou prioritou), ta čas od času zavolá systémové služby, což povede k vyprázdnění TLB a velkému poklesu výkonu. Jenže na tohle benchmarky neexistují.
To stejné i s benchmarky pevných disků - většina jich měří sekvenční čtení, kde když pošlu na systém požadavek načtení velkého bloku dat, systém to zpracuje vcelku a pokles výkonu zas tak významný nebude. Ale pokud budu střídat v rychlém sledu načtení kusu dat a výpočet s nimi, budou dopady zásadní.
Proto výsledky z benchmarků nejeví nijak tragické poklesy, přitom reálné výsledky ze serverů jsou dost alarmující (poklesy výkonu o desítky procent). Dopad bude malý pro single-user scénáře, kde běží typicky jedna zátěžová aplikace. Jakmile ale pustíte víc uživatelů nebo jeden uživatel bude dělat multitasking s více zátěžovými aplikacemi (to je právě ten databázový scénář), půjde výkon do háje. -
Jako duvod proc RyZen?
No az mi nebude stacit vykonove Haswell, tak si nebudu kupovat procesor, kde jsou takove silene bezpecnostni diry (nejen tato, Intel Management je to same nebo jeste horsi). Ono to Intelu slo tolerovat, dokud nebyla konkurence a procesory od AMD mely polovicni vykon, ale pri dnesnich minimalnich rozdilech uz se clovek muze rozhodovat i podle dalsich parametru. -
Pokud bude oprava chyby pres povinnou aktualizaci Windows, tak na Win10 ji budes muset nainstalovat tak jako tak a na Win7 v podstate taky, pokud se nerozhodnes vypnout WIndows update, coz teda ja sice mam vypnute, ale aktualizuju rucne Only-Security updaty, coz by potom neslo take a to riskovat rozhodne nebudu.
-
Jan Olšan (neregistrovaný)
Nejde moc o "hackera", jako spíš o automaticky šířené napadení, jako jsou ransomware, nebo ty krádeže platebních údajů... nebo kryptoměn, když by na to přišlo - u těch je průšvih, že u banky přes pojištění a tak třeba něco zmůžete, ale ukradenej BTC vám nikdo nikdy nevrátí - jeden z důvodů, proč se mi moc nezdá, že by to měla být budoucnost, nebo teda spíš se bojím, aby to nebyla budoucnost :).
-
gogo1963 (neregistrovaný)
v tomhle případě asi nějaké "automaty" nepřichází do úvahy, alespoň co jsem pochopil já ... i na tej nejmenší atak je potřeba shoda různých okolností a že někdo při tom natrefí na něco relevantního ... myslím, že tady děláte z komára slona ... jiná věc je odvětví cloudu, serverů, protože jakákoliv škoda se násobí ...
-
hnizdo (neregistrovaný)
velkym cloudarum je to sumak. cloud navysi svoji kapacitu snadno, je to jen otazka penez, ktere vyrazi nejakym barterem z intelu. nejhur to dopadne na male firmy a podniky s nekolika standalone zastaralymi a pretizenymi servery. nicmene i tam je moznost, pokud je na serveru kontrolovan soubor bezicich aplikaci, zaplaty proste neinstalovat. preci jen se musi jednat o kod, ktery je spusten na serveru.
-
hnizdo (neregistrovaný)
Redmarxi, zjevne mas mylne informace, takze bys nemel delat unahlene zavery.
" tady jde hlavne o databaze a servery vystrcene do internetu" ne, nejedna se o napadeni zvenci, ale zevnitr. s "pripojenim do internetu" to skutecne nesouvisi.
Rict ze jsi v pohode kdyz mas vypnutej windows update muze, promin mi to, rict jen idiot.
A vycitat microsoftu, ze patch blbne par uzivatelum na predpotopnim sempronu nebo duronu (!), delas si srandu? To plati i pro Tromba, samozrejme. -
hnizdo (neregistrovaný)
ale vzdyt to stejne porad delas, sulinku, a kazdemu kdo s tebou v unisono demenci neplive na ty tvoje "korporace" a dalsi vykorsitovatelske temne sily :) mne to nevadi, kazdy pak hned vidi, kdo se odpovedne venuje faktum, a kdo predevsim napadanim diskutujicich. klidne si posluz, pekne se tu vyzvracej! :)
-
Hnizdile, ja tady zvracet nechodim :)) To si pletes sam se sebou..
Ja ti jen pisu, ze Idiot tveho kalibru, ktery neni schopen ani pochopit nektere zakladni veci (treba IPC, ze?) chodi diskutovat pod clanky, kde se schazeji lidi, co maji treba 20 let zkusenosti z ruznych odvetvi IT? Ti pak musi cist plecky od Tebe, kde jim pises, ze se myli, protoze Hnizdo, pablb prvni kategorie, jez pises kazdy prispevek ve smyslu Intel je nejlepsi, ma pravdu pricemz casto ani netusi, ktera bije? Chapes jak je to otravne co delas? Nechapes, protoze, jinak by jsi to nedelal... -
hnizdo (neregistrovaný)
Trombo, nezapomen doplnit, ze jsi pracoval nekolik let v anglicky mluvici zemi! :))
Redmarx 8.1.2018 at 11:48 jake bachorky vypravim, prosim te? To o tech sempronech sem postnul Trombo, ktery pracoval nekolik let v anglicky mluvici zemi!
Ja preci nerozporuju ze s tim muzou mit nekteri uzivatele problemy, je to holt zasadni zasah do jadra, ale delat drama z toho ze to nefunguje par lidem s cracknutym neaktualizovany antivirem nebo predpotonimi platformami... -
hnizdo (neregistrovaný)
Musim rozporovat. Hra rozhodne behem sveho behu nedela "jednu operaci". Hra zamestnava GPU, zvukovku, v pripade multiplayerovych sitovku, a v pripade sandboxovych her i disk. Na pozadi bezi zpravidla AV a neprekvapive, cele windows.
Benchmarky pevnych disku testuji samozrejme jak sekvencni cteni, tak mnoho patternu nahodneho r/w. Mas to v tech testech. Co je na techto poslednich testech podivne, ze nektere benchmarky ukazuji rozdily treba 4kB block random read v radech desitek procent. To vypovida spis o jejich metode k pristupu k storage, nez o vykonu disku, ale i to je dulezity parametr. Musi se to overit a zduvodnit.
Samozrejme, ty testy nezahrnuji server load, a uz vime, ze spousta server aplikaci bude mit problem, o tom take neni pochyb. Ale "server" a "desktop" jsou dve ruzne oblasti, mezi kterymi neexistuje korelace, desktop benchmark neni relevantni pro posouzeni dopadu na server aplikace. -
hnizdo (neregistrovaný)
tombomino 8.1.2018 at 12:45 Trombozko, tohle je verejne forum. Cemu nerozumis na vete "Na to jednou provzdy zapomen."? Mne je tvoje urazeni a napadani ukradene, redakci zjevne take, tak je to predevsim tvoje vizitka, ze se venujes kopani do hrace misto do mice. Tak v tom klidne pokracuj, ja se budu dal drzet vecne roviny.
-
hnizdo (neregistrovaný)
tombomino 8.1.2018 at 12:53 Clovek by cekal, ze jedinec co pracoval nekolik let v anglicky mluvici zemi to z tech tun faktu uz pochopil... Mozna je to stejny duvod jako u 7zipu - tedy zpracovani hromady malych fajlu, tedy velke I/O? Tedy to Mlho, o cem se tu vsude uz par dni bavime? ;)
-
Hnizdo, ty nechapes jednu vec, ze v tvem pripade to nejsou urazky, kdyz te nazvu idiotem. To je proste konstatovani faktu, co se tyce tvyh technickych znalosti.. Muzu ti taky treba rikat Debil, protoze to je opet lekarsky pojem, ktery vystijje tvou technickou rovinu a neni nutne urazkou, stejne jako Idiot.
Ty si neustale fandis, ze s tebou snad diskutuji.. mne jen otravujes jako komar, to je vsechno. -
hnizdo: nedas si rict co? Pisu, nove PC s Kaby Lake, OS Windows 10 updatovany na Fall Creators, antivir Windows Defender a OS je koupeny s pocitacem v CZC, takze naprosto standardni uzivatel na standardnim hardwaru a stejne mu celej PC ten patch na Meltdown/Spectre (nevim ktery) rozvrtal a znefunkcnil.
tombomino: ja sam jsem na Win10 odpojen od internetu, mam jeste i Win7, takze nic jsem nemusel updatovat a vse funguje OK. Jinak s Windows 10 nemam vetsi problem, ale je teda pravda, ze Fall Creators update nainstaloval nejakej debilni ovladac pro GeForce a ze jsem musel jit na web NVidie a stahnout ovladac a nainstalovat manualne a po te zase hry chodi OK. -
hnizdo (neregistrovaný)
Tak to byl zjevne prasek na nadobi, co sis vzal. Nejak si presel tema :) Nevadi.
http://www.businessinsider.com/google-amazon-performance-hit-meltdown-spectre-fixes-overblown-2018-1
Google a Amazon otevrene rikaji no problem. Asi taky nevi o cem mluvi, holt nepracuji roky v anglicky mluvici zemi, to se projevi.. Oh, wait...
Trombozo, dneska mne pekelne bavis :) -
Cloudaři určitě nebudou tvrdit, jak výkon jejich HW šel do háje. Prodali to za nějakou cenu, zákazníci měli očekávání, že dané řešení bude stačit jejich požadavkům. Bylo by od cloudařů hloupé, kdyby najednou říkali, že za onu zaplacenou cenu dostanou o desítky procent nižší výkon - to by taky zákazníci mohli od smluv odstoupit.
-
@tombomino: to nevím, u jednoho obrázku bych čekal spíš zpomalení malé. Možná ještě kdyby tam byla akcelerace grafikou, ale to moc smysl nedává.
Další dva moje benchmarky:
Kompilace v Arduino IDE nad ESP32 knihovnami
bez Meltdown: 25s
s Meltdown: 27s
-> zpomalení o 7.5 %.
SHA1 v Total Commanderu (využívá optimalizované systémové knihovny):
bez Meltdown: 55s
s Meltdown: 54s -
hnizdo (neregistrovaný)
Redmarx 8.1.2018 at 13:35 A co ti na to mam rict? Ze u mne i v mem okoli vse ok, ani z firem mi nevolaji? Jasne ze se VZDYCKY par problemu najde, ale nebudu z toho delat aferu. Nic vic nic min. Mne spis vadi to tvoje " Na Win7 mam windows update vypnutej a jsem v pohode.", to je fakt blbost, sorry.
-
Aznohh (neregistrovaný)
Tak můžu potvrdit, právě jsem to musel řešit u příbuzných. Zásek při načítání na logu Win po aktualizaci. Nějaký Athlon64 X3 či co a Win10.
https://www.reddit.com/r/Amd/comments/7p5s0r/microsoft_halts_amd_meltdown_and_spectre_patches/ -
hnizdo (neregistrovaný)
Zatim jsem videl zde i jinde dohromady asi pet testu od jednotlivcu. Ze pujde cpu usage nahoru je zcela jiste, jde o to o kolik. Pokud MS a ostatni tvrdi, ze vetsina uzivatelu nic nezaznamena a s ostatnimi se to vyresi, nevidim v tom problem. Zatim nic nenasvedcuje nejake masove panice, krachujicim poskytovatelum a podobne, jak bylo nekterymi ocekavano.
-
hnizdo (neregistrovaný)
Jan Olšan 8.1.2018 at 19:33 „Pro spectre uz je firmware venku, a zadna zmena:“ "Že vy lidé vždycky víte všechno hned a definitivně," to byl komentar k danemu testu s vazbou na tvuj prispevek , kde postradas dopady update firmware. poskytl jsem test noveho firmware, a okomentoval vysledek. Pracuji s tim co mam, informacim davam vahu podle duveryhodnosti zdroje, a z toho co mam jiny trend nevypliva. Zadne definitivni zavery nebo uzavreni kauzy jsem nepodaval.
Návody a tipy
23. 10. 2024
| online
31. 7. 2024
| online
6. 7. 2024
| online
ČLÁNKY DO MAILU