Но ведь в данном случае двухфакторная аутентификация как раз спасает, поскольку если она включена, восстановить пароль можно только двумя способами: по электронной почте (если она привязана) или через поддержку если на странице есть настоящие фотографии. Способ с телефоном будет уже недоступен.
Да, если говорить про CVE-2017-5715 (Branch Target Injection) то не будет работать без обновлённого микрокода. А патч от Meltdown будет работать и без этого (если его включить).
Hardware support for branch target injection mitigation is present: False (Прошивка процессора поддерживает патч — нет).
Windows OS support for branch target injection mitigation is present: True (Windows представила патч — да).
Windows OS support for branch target injection mitigation is enabled: False (Патч включен — нет).
Windows OS support for branch target injection mitigation is disabled by system policy: True (Патч отключен групповой политикой — да).
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True (Патч отключен из за несовместимости с прошивкой процессора — да, поскольку зависит от первого пункта).
Hardware requires kernel VA shadowing: True (Процессор требует скрытия VA в ядре — да).
Windows OS support for kernel VA shadow is present: True (Патч представлен Windows — да).
Windows OS support for kernel VA shadow is enabled: False (Патч включен — нет).
Всё что ниже — краткая сводка по всем параметрам и зависит от значений выше.
Итого: при отключении не все значения должны быть False. В статье, увы, это не правильно истолковано.
Да. Патчи работают. Но учитывая специфику уязвимостей, как минимум в теории даже пропатченную систему можно будет атаковать через Bounds Check Bypass (CVE-2017-5753). От этого варианта Spectre нету патчей на ОС. А Retpoline от Google будет эффективен лишь против Branch Target Injection.
KVAShadowRequired: True (Патч от Meltdown требуется)
KVAShadowWindowsSupportPresent: True (Windows представила патч)
KVAShadowWindowsSupportEnabled: True (Windows включила патч)
KVAShadowPcidEnabled: False (Поддержка технологии Pcid отключена, так как не поддерживается процессором, с ним патч будет оказывать меньшее влияние на производительность) — это не критично, так как сам патч всё равно работает, просто с большей потерей производительности.
Скорее всего да, следует подождать очередного обновления BIOS. Intel говорила о том, что к концу этой недели она представит обновления прошивки для 90% всех моделей процессоров, выпущенных за последние пять лет.
От Meltdown патч стоит и функционирует. А вот для CVE-2017-5715 нужно дождаться обновления прошивки (сам патч тоже готов к работе). Если у Вас OEM производитель, то все обновления Вы должны будете получить от него. Intel говорила о том, что обновление прошивки будут предоставлены для 90% всех моделей процессоров, выпущенных за последние пять лет. О конкретных процессорах мне пока не известно.
Да, для того чтобы заработал патч от CVE-2017-5715 нужно обновить прошивку процессора. Если производитель OEM, то обновление может прийти вместе с BIOS. C Meltdown у Вас всё в порядке.
Что касается ноутбука, то Meltdown — патч работает. А по поводу Spectre CVE-2017-5715 [branch target injection] патч у Вас не работает, поcкольку требуется обновление прошивки процессора, о чём сообщает «BTIDisabledByNoHardwareSupport — True». Остаётся только одно — ждать обновление прошивки для процессора (увы, но обновление будет доступно не для всех процессоров).
Первое исправление CVE-2017-5715 [branch target injection] у Вас не работает, поcкольку требуется обновление прошивки процессора, о чём сообщает «BTIDisabledByNoHardwareSupport — True». На данный момент она доступна не для всех моделей процессоров, поэтому нужно подождать. А для некоторых, увы, и вовсе не будет выпущена.
Что касается CVE-2017-5754 [rogue data cache load], то исправление работает, но механизм KVAShadowPcid (с ним патч будет оказывать меньшее влияние на производительность) не поддерживается Вашим процессором. Это не критично, поскольку Meltdown Вам всё равно не грозит.
У Вас не стоит патч. После установки патча версия ОС должна быть не меньше 16299.192.
Его можно установить вручную, скачав из каталога обновлений Microsoft. Для вашей ОС он доступен тут.
Но я всегда рекомендую дождаться этого патча через центр обновлений, поскольку некоторое антивирусное ПО с ним не совместимо: список.
Если это обновление не доступно через центр обновлений, то проверьте, есть ли следующая запись в реестре?
Для тех процессоров, которые не подвержены Meltdown (CVE-2017-5754) значение Hardware requires kernel VA shadowing: False (что переводится примерно так: Аппаратная часть требует скрытия VA в ядре: Нет.)
Если она False, то следующие значения, что к ней относится (KVAShadowRequired, KVAShadowWindowsSupportEnabled, KVAShadowPcidEnabled) тоже будут False, так как для такого процессора они не требуют True.
KVAShadowWindowsSupportPresent после установки патча будет True, так как значит, что Windows представила поддержку этого патча (но это не значит, что он функционирует).
С CVE-2017-5715 аналогично. Если патч установлен, то значение BTIWindowsSupportPresent — True. Если BTIHardwarePresent — False (прошивка процессора не поддерживает патч), то сам патч будет в отключенном состоянии и будет иметь значение BTIDisabledByNoHardwareSupport — True до тех пор, пока не обновится прошивка процессора.
В итоге получаем полную совместимость патчей для процессоров. Если патч нужен, то он будет функционировать (в случае с первым вариантом ему дополнительно нужно обновление прошивки процессора), а если не нужен, то будет находится в отключенном состоянии.
Hardware support for branch target injection mitigation is present: False (Прошивка процессора поддерживает патч — нет).
Windows OS support for branch target injection mitigation is present: True (Windows представила патч — да).
Windows OS support for branch target injection mitigation is enabled: False (Патч включен — нет).
Windows OS support for branch target injection mitigation is disabled by system policy: True (Патч отключен групповой политикой — да).
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True (Патч отключен из за несовместимости с прошивкой процессора — да, поскольку зависит от первого пункта).
Hardware requires kernel VA shadowing: True (Процессор требует скрытия VA в ядре — да).
Windows OS support for kernel VA shadow is present: True (Патч представлен Windows — да).
Windows OS support for kernel VA shadow is enabled: False (Патч включен — нет).
Всё что ниже — краткая сводка по всем параметрам и зависит от значений выше.
Итого: при отключении не все значения должны быть False. В статье, увы, это не правильно истолковано.
KVAShadowRequired: True (Патч от Meltdown требуется)
KVAShadowWindowsSupportPresent: True (Windows представила патч)
KVAShadowWindowsSupportEnabled: True (Windows включила патч)
KVAShadowPcidEnabled: False (Поддержка технологии Pcid отключена, так как не поддерживается процессором, с ним патч будет оказывать меньшее влияние на производительность) — это не критично, так как сам патч всё равно работает, просто с большей потерей производительности.
Затем установите сам модуль (на все вопросы отвечайте y):
После чего запустите:
После вывода результатов сообщите их тут. И не забудьте после выполнения всех команд вернуть политику безопасности обратно:
Что касается CVE-2017-5754 [rogue data cache load], то исправление работает, но механизм KVAShadowPcid (с ним патч будет оказывать меньшее влияние на производительность) не поддерживается Вашим процессором. Это не критично, поскольку Meltdown Вам всё равно не грозит.
Его можно установить вручную, скачав из каталога обновлений Microsoft. Для вашей ОС он доступен тут.
Но я всегда рекомендую дождаться этого патча через центр обновлений, поскольку некоторое антивирусное ПО с ним не совместимо: список.
Если это обновление не доступно через центр обновлений, то проверьте, есть ли следующая запись в реестре?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name=«cadca5fe-87d3-4b96-b7fb-a231484277cc»
Type=«REG_DWORD»
Data=«0x00000000»
Если нет, то сообщите состояние встроенного антивируса и название стороннего (если пользуетесь).
Если она False, то следующие значения, что к ней относится (KVAShadowRequired, KVAShadowWindowsSupportEnabled, KVAShadowPcidEnabled) тоже будут False, так как для такого процессора они не требуют True.
KVAShadowWindowsSupportPresent после установки патча будет True, так как значит, что Windows представила поддержку этого патча (но это не значит, что он функционирует).
С CVE-2017-5715 аналогично. Если патч установлен, то значение BTIWindowsSupportPresent — True. Если BTIHardwarePresent — False (прошивка процессора не поддерживает патч), то сам патч будет в отключенном состоянии и будет иметь значение BTIDisabledByNoHardwareSupport — True до тех пор, пока не обновится прошивка процессора.
В итоге получаем полную совместимость патчей для процессоров. Если патч нужен, то он будет функционировать (в случае с первым вариантом ему дополнительно нужно обновление прошивки процессора), а если не нужен, то будет находится в отключенном состоянии.