Хакер #305. Многошаговые SQL-инъекции
Компания AMD выпустила микрокоды, исправляющие «процессорную» уязвимость Spectre вариант 2 (CVE-2017-5715). Теперь патчи представлены для продуктов вплоть до 2011 года выпуска (до процессоров Bulldozer). Разработчики распространили эти «заплаты» среди производителей ПК и материнских плат, чтобы те включили обновления в состав BIOS.
Суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 — CVE-2017-5753 и Variant 2 — CVE-2017-5715). Если Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует сочетания обоих подходов и нуждается в обновлениях прошивки/BIOS/микрокода, из-за чего у вендоров уже возникали многочисленные накладки.
Ранее всяческую помощь в распространении патчей производителям предложила компания Microsoft, поэтому в рамках апрельского вторника обновлений был представлен KB4093112 (пока только для Windows 10). В состав этого обновления входят патчи ОС-уровня, которые так же созданы для пользователей AMD и направлены на устранение Spectre вариант 2.
Напомню, что в январе Microsoft уже пыталась выпустить исправления, которые оказали неожиданный эффект на процессоры AMD (в частности, серии Athlon 64 X2). Оказалось, что иногда после установки патчей (а именно KB4056892) системы на базе CPU AMD просто перестают загружаться, показывают «синий экран смерти» и так далее. В итоге распространение патчей экстренно приостановили, и лишь спустя несколько недель возобновили, устранив баги. Интересно, что в состав нового KB4093112 не входят эти изначальные январские патчи, так что пользователям придется устанавливать оба пакета.
В AMD также подчеркивают, что полное исправление уязвимостей в процессорах компании требует одновременно установки микрокодов, полученных от производителей железа, и установки патчей для операционной системы.
Патчи для других «процессорных» проблем AMD (RyzenFall, MasterKey, Fallout и Chimera), пока не готовы и все еще дорабатываются.