Od začátku ledna řešíme odhalená zranitelná místa v procesorech. O tomto vás dění vydatně zpravuje kolega Jan Olšan. V tuto chvíli si dovolím krátce se mu vmísit do řemesla. Microsoft totiž nějaké aktualizace, které problémy řeší na straně systému, již vydal, ale pak vznikly komplikace. Dokonce se objevila aktualizace, jež bere zpátky jednu provedenou změnu. Již složitý aktualizační systém je dočasně ještě nepřehlednější než dřív, tak se pokusím situaci přehledně popsat. Zdůrazňuji, že se budu soustředit jen na aktualizace pro Windows, nikoli např. na aktualizace firmwaru, s nimiž to také bylo, je a nejspíš bude složité. Dále si dovolím vás odkázat na článek Jak je to s opravami chyby Spectre, kde kolega popisuje díry a způsoby ochrany včetně výsledného řešení ve Windows, pokud stojíte o detaily.
Pokud vás téma zajímá, sledujte štítek zranitelnost.
První aktualizace
Držet se budu dnes již jednoznačně dominantně rozšířené verze Windows 10 Fall Creators Update. Aktualizace ovšem vyšly analogicky také pro starší verze Windows včetně Sedmiček, byť ovšem pod jinými označeními. Dne 3. ledna vydaná aktualizace KB4056892 nabídla opravy proti chybám Meltdown a Spectre. Tuto verzi můžete doteď používat, číslo sestavení systému je 16299.192.
Druhá aktualizace
Některé stroje s procesory od AMD po instalaci léčebné dávky zaznamenaly alergickou reakci – systém se nedokázal spustit. Distribuce aktualizace byla na těchto strojích dočasně pozastavena a dne 17. ledna pak Microsoft potichu vydal opravenou aktualizaci pod označením KB4073290. Po instalaci se číslo sestavení systému zvedne na 16299.194.
Windows 10 build 16299.194Podotýkám, že tato aktualizace není uvedena v oficiálním seznamu vydaných aktualizací. Někteří nicméně tuto verzi systému mít mohou. Podotýkám, že balíček neobsahuje navíc žádnou další ochranu navíc oproti první zmíněné aktualizaci. Instalovat ji tak ručně můžete i na počítačích postavených na Intelu, nepřinese vám to ovšem žádný benefit.
Třetí aktualizace
Dne 18. ledna vyšla ještě jedna aktualizace, ale opět jen pro specifickou skupinu strojů. Aktualizace KB4073291 specificky přidává ochranu 32bitových edic Windows 10 v1709, kterým totiž chyběly některé opravy, které již byly dříve dodány strojům 64bitovým. Po aplikaci tohoto opravného balíčku se číslo sestavení systému zvedne na 16299.201.
Microsoft popis zkrátil na nezbytné minimum, takže reálně nevíme, co konkrétně má být ona dodatečná ochrana. Buď jak buď, na dnes již málo rozšířených 32bitoých sestavených se můžete setkat s uvedenou verzí systému. Připomínám, že číslo sestavení stávající instalace si uvěříte např. příkazem winver, který lze mj. vyhledat v nabídce Start.
Ale pozor, u této a výše uvedených aktualizací jsou uvedeny nikoli banální známé problémy. Po instalaci může Windows Update nesprávně hlásit, že aktualizace nebyla nainstalována. Nemusí se vám podařit se přihlásit k některým online účtům v prohlížeči Edge. Především můžete pozorovat nestabilitu systémů končící kolapsem kvůli nekompatibilitě s některými antivirovými řešeními třetích stran.
Čtvrtá aktualizace
Dne 27. ledna pak vyšla další aktualizace (KB4078130), která působí spíše symbolicky. Váží 24 KB a jednoduše řešeno ruší již aplikovanou opravu chyby CVE-2017-5715, tj. jednu ze dvojice chyb označených souhrnně jako Spectre. Je ale potřeba zdůraznit, že není distribuována všem skrze Windows Update. Lze si ji jen stáhnout ručně a aplikovat by ji měli pouze ti, komu dosud vydané a výše zmíněné aktualizace začaly působit problémy se stabilitou počítače.
K tématu: Chyby v aktualizaci CPU proti Spectre jsou vážnější, Intel ji stahuje z oběhu
Je to tedy něco za něco. Počítač bude stabilní, zato opět o něco více otevřený útokům. V rámci kritické situace bude k určitým pokrokům docházet průběžně zřejmě ještě dlouho, takže nezbývá než čekat, až narychlo sestavené opravy nahradí opravy kvalitnější. Zatím není známo, že by ke zneužití děr v procesorech docházelo, z čehož usuzuji, že stabilita má přednost.
Aktualizaci KB4078130 je možné aplikovat na zařízeních s Windows 10 (všechny verze), ale také Windows 8.1 a Windows 7. Tentokrát Microsoft kromě ní nabízí i manuální cestu, jak dosavadní opravu chyby CVE-2017-5715 vypnout. Musíte provést dva příkazy:
- reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
- reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Pro případnou opětovnou aktivaci ochrany proveďte tyto dva příkazy:
- reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
- reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Microsoft se zde odvolává na Intel. Možnost vypnout opravu nabízí v reakci na odkazované prohlášení Intelu, že dosavadní řešení mohlo vést k nestabilitě, jež mohla způsobit porušení dat. Microsoft dále doporučuje opravu znovu zapnout ve chvíli, kdy Intel oznámí, že je to bezpečné, tj. kdy vyprodukuje stabilní opravený mikrokód pro své procesory.
