Глобальным уязвимостям Meltdown и Spectre подвержены практически все современные и не слишком процессоры и, следовательно, устройства. О проблеме стало известно в первых числах января 2018 года, однако с патчами возникло множество проблем. К примеру, оказалось, что выпущенные патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также заметно снижают производительность.

Все это привело к тому, что в конце января компания Intel приостановила распространение исправлений для уязвимости Spectre (Variant 2), призвав пользователей и производителей железа дождаться нормально работающих версий микрокодов. То есть нормально работающих исправлений для бага Spectre до сих пор нет для многих систем.

Напомню, что суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 — CVE-2017-5753 и Variant 2 — CVE-2017-5715). Если  Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует также обновления прошивки/BIOS/микрокода, из-за чего и возникли многочисленные накладки.

В начале февраля 2018 года разработчики Intel, наконец, продемонстрировали первые результаты, опубликовав исправленные версии патчей для ряда процессоров на архитектуре Skylake. При этом представители компании заверили, что исправления прошли всестороннее тестирование, разработчики учли все нюансы, и повторения январских проблем ожидать не следует.

Теперь, спустя две недели, компания выпустила новые микрокоды для других процессоров на архитектуре Skylake, а также патчи для уязвимости Spectre (Variant 2) для процессоров Kaby Lake и Coffee Lake. Обновления предназначены для шестого, седьмого и восьмого поколений продуктовой линейки Intel Core, а также процессоров Intel Core X, Intel Xeon Scalable и Intel Xeon D (последние два решения используются в основном в дата-центрах).

Стоит заметить, что патчей для Broadwell и Haswell по-прежнему нет. Представители Intel пишут, что «заплатки» для Sandy Bridge, Ivy Bridge, Broadwell и Haswell все еще находятся на этапе бета-тестирования.

Вместе с новой порцией микрокодов компания также обнародовала PDF-инструкцию для системных администраторов, проясняющую вопросы касательно установки патчей. В документе приведена сводная таблица готовности исправлений для различных архитектур и модельных линеек, позволяющая узнать текущий статус конкретного обновления и определить примерные сроки его релиза.
Также был опубликован whitepaper, в котором описывается применение альтернативной защитной практики Retpoline, разработанной инженерами компании Google. Retpoline позволяет справиться с проблемой Spectre (Variant 2) на софтверном уровне.

 



3 комментария

  1. AgentJordan

    22.02.2018 at 14:39

    Мария, у вас «PDF-инструкция» и «сводная таблица готовности» — одно и то же. Подробной инструкции, кстати, у них на сайте я не нашел. Как я понял, патчи будут доступны посредством «OEM firmware updates», иными словами, на сайте производителя вашей материнки.

  2. john_

    12.03.2018 at 07:02

    МС отказалась от идеи распространения накопительными обновлениями? 😂

Оставить мнение