Отсутствие уязвимости в CPU лучшее что может быть, но как проверить есть ли они, эти уязвимости? Как выясняется в современных процессорах они буквально "пачками". И счастливому обладателю «уязвимостей» в лучшем случае предлагается ползать по таблицам и искать каким из них подвержен его процессор. А с течением времени количество найденных дыр только растет.
Простейшим решением предлагается обновление БИОСа/UEFI с установкой новой версии микрокода. Но решает ли оно все проблемы, или собственно хотябы их часть?
Чем это можно проверить? Выясняется что выбор средств для проверки оного не сильно широк.
Сча��тливым обладателям Виндовса предлагается последовательность из
Install-Module SpeculationControl
Import-Module SpeculationControl
Get-SpeculationControlSettings
к сожалению, обновленный микрокод ни коим образом не повлиял на мой списочек True/False
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
L1TFH...: True
L1TFW...: False
L1TFW...: False
L1TDF...: False
Еще интереснее была история с Убунту. Под Линукс существует очень неплохой скрипт в ГитХабе (Spectre, Meltdown, Foreshadow, Fallout, RIDL, ZombieLoad vulnerability/mitigation checker for Linux & BSD ) Который показывает какие дыры на CPU и ОС есть. Но и тут обновление микрокода вообще ни чего не изменило, ну кроме той самой версии микрокода. Всё помеченное красным осталось красным, все промеченное желтым также предательски желтело. В качестве подопытного была Убунту 18.4. А вот смена ее на 18.10 существенно изменило ситуацию, краснота в итоговом списке исчезла полностью.
Что же меня беспокоит, даже при отсутствии «красноты»? А то, что изначальная проблема моего железа, на которую мне указали добрые люди (CVE-2018-3646) и со старым микрокодом была не помечена «красной» и с обновлением ничего не изменилось. Все считается для CVE-2018-3646 безопасным.
Вот и думай, насколько всем этим тестам можно доверять. Конечно можно сказать «захотел бесплатного, вот купи и радуйся», но не подобного ли кота в мешке предлагается купить?
На текущий момент приходится только мечтать о наборе утилит позволяющем своевременно отслеживать все, в том числе и новые, уязвимости в процессорах. И регулярно гонять тесты на поступающих, от Интела и АМД, зверушках.
Простейшим решением предлагается обновление БИОСа/UEFI с установкой новой версии микрокода. Но решает ли оно все проблемы, или собственно хотябы их часть?
Чем это можно проверить? Выясняется что выбор средств для проверки оного не сильно широк.
Сча��тливым обладателям Виндовса предлагается последовательность из
Install-Module SpeculationControl
Import-Module SpeculationControl
Get-SpeculationControlSettings
к сожалению, обновленный микрокод ни коим образом не повлиял на мой списочек True/False
BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
L1TFH...: True
L1TFW...: False
L1TFW...: False
L1TDF...: False
Еще интереснее была история с Убунту. Под Линукс существует очень неплохой скрипт в ГитХабе (Spectre, Meltdown, Foreshadow, Fallout, RIDL, ZombieLoad vulnerability/mitigation checker for Linux & BSD ) Который показывает какие дыры на CPU и ОС есть. Но и тут обновление микрокода вообще ни чего не изменило, ну кроме той самой версии микрокода. Всё помеченное красным осталось красным, все промеченное желтым также предательски желтело. В качестве подопытного была Убунту 18.4. А вот смена ее на 18.10 существенно изменило ситуацию, краснота в итоговом списке исчезла полностью.
Что же меня беспокоит, даже при отсутствии «красноты»? А то, что изначальная проблема моего железа, на которую мне указали добрые люди (CVE-2018-3646) и со старым микрокодом была не помечена «красной» и с обновлением ничего не изменилось. Все считается для CVE-2018-3646 безопасным.
Вот и думай, насколько всем этим тестам можно доверять. Конечно можно сказать «захотел бесплатного, вот купи и радуйся», но не подобного ли кота в мешке предлагается купить?
На текущий момент приходится только мечтать о наборе утилит позволяющем своевременно отслеживать все, в том числе и новые, уязвимости в процессорах. И регулярно гонять тесты на поступающих, от Интела и АМД, зверушках.
