Для всех поддерживаемых версий Windows выпущено исправление для уязвимостей процессоров Intel, позволяющих взломщикам получить информацию о вашем компьютере, в том числе пароли и другие конфиденциальные данные. В прессе эти уязвимости получили наименования Meltdown и Spectre. В документе ADV180002 |Guidance to mitigate speculative execution side-channel vulnerabilities компании Microsoft (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002) говорится:
«Microsoft известно о недавно обнаруженном классе уязвимостей, именуемом ‘теоретически возможным выполнением команд через сторонний канал’, затронувшем многие современные процессоры и операционные системы, в том числе Intel, AMD и ARM. Эта проблема может коснуться и других систем, таких как Android, Chrome, iOS, macOS, поэтому мы рекомендуем клиентам запросить рекомендации у соответствующих поставщиков».
Компания Microsoft выпустила несколько обновлений, чтобы уменьшить угрозу. Кроме того, приняты меры для защиты «облачных» служб.
Пока Microsoft не получала никакой информации, указывающей на то, что эти уязвимости использовались для атак на компьютеры наших клиентов. Компания продолжает работать в тесном сотрудничестве с партнерами по отрасли, в том числе изготовителями микросхем, OEM-производителями оборудования и поставщиками приложений, чтобы защитить клиентов. Чтобы применить все необходимые меры защиты, требуется обновление аппаратных средств, встроенного кода и программного обеспечения, в том числе микрокода, поставляемого OEM-производителями устройств, а в некоторых случаях и антивирусного программного обеспечения.
Для взаимодействия с антивирусными утилитами требуется обновление ядра, поэтому вы получите это обновление после того, как поставщик антивирусной программы докажет, что способен овладеть ситуацией. Доказательством будет добавление раздела реестра в операционную систему. Если раздел реестра не добавлен, вы не получите обновления.
Если вы хотите наглядно убедиться в готовности своих компьютеров к обновлению, нажмите кнопку Start, введите regedit и нажмите клавишу ввода, чтобы подтвердить строку с повышенными привилегиями. Затем нужно перейти к соответствующему разделу реестра. Обратите внимание, что каждый маркер представляет уровень, на который требуется углубиться:
- HKEY_LOCAL_MACHINE;
- SOFTWARE;
- Microsoft;
- Windows;
- CurrentVersion;
- QualityCompatю
В правой стороне реестра найдите следующие параметры:
Value Name="cadca5fe-87d3-4b96- b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”
Если вы видите эти параметры, значит, поставщик антивирусной программы выполнил необходимое обновление, и исправление можно установить. Если данное значение отсутствует, то ваш компьютер (и, следовательно, поставщик антивирусной программы) не готов к обновлению. Не пытайтесь ввести раздел вручную и не загружайте обновление из сайта каталога.
В документе Google (https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview? sle=true#gid=0) можно найти неофициальный список поставщиков, выполнивших необходимое обновление и готовых устранить уязвимости Meltdown и Spectre.
Для Windows 10 обновления следующие:
- KB4056892 (https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892) для Windows 10 1709;
- KB4056891 (https://support.microsoft.com/en-us/help/4056891/windows-10-update-kb4056891) для Windows 10 1703;
- KB4056890 (https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890) для Windows 10 1607;
- KB4056888 (https://support.microsoft.com/en-us/help/4056888/windows-10-update-kb4056888) для Windows 10 1511;
- KB4056893 (https://support.microsoft.com/en-us/help/4056893/windows-10-update-kb4056893) для Windows 10 RTM (для пользователей Long Term Servicing Branch).
Операционные системы Windows 8.1 и Windows 7 также получают внеочередные обновления, но только по каналу службы обновлений WSUS. Для домашних пользователей будет выпущен обычный накопительный пакет обновления.
Для сферы бизнеса:
- KB4056898 (https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898) для Windows 8.1 и Server 2012 R2;
- KB4056897 (https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897) для Windows 7 и Server 2008 R2.
Мой обычный совет небольшим компаниям — подождать, пока обнаружатся побочные эффекты исправления. Им применение исправлений лучше пока отложить.
Помимо перечисленных обновлений, обратите внимание на обновления встроенного программного обеспечения, которые исключают угрозы, возникающие из-за Meltdown и Spectre. По этому вопросу следует обратиться к поставщикам оборудования.
Теперь плохие новости: после установки обновления может упасть производительность. На некоторых технических сайтах (https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/) появились сообщения о том, что потери производительности на системах Linux могут достигать 35%.
Если вы хотите выяснить, отразятся ли рассматриваемые меры защиты на производительности вашего компьютера, выполните тест производительности процессора (https://www.cpubenchmark.net/cpu.php? cpu=Intel+Core+i7-4980 HQ+%40+2.80 GHz&id=2327) до и после установки обновления.
Применяя исправления к своей рабочей станции, проверьте, нет ли других обновлений встроенного кода, которые вы забыли применить раньше. Это не первая ошибка в наборе микросхем Intel; в ноябре компания опубликовала сведения о нескольких изъянах в микросхемах. Обновления встроенного кода для устранения этих ошибок можно найти на странице рекомендаций компании (https://security-center.intel.com/advisory.aspx? intelid=INTEL-SA-00086&languageid=en-fr). Проверьте, нуждаетесь ли вы в обновлении встроенного программного обеспечения, и загрузите средство тестирования компании Intel (https://downloadcenter.intel.com/download/27150? v=t).
Таким образом, рекомендуется проверить, готов ли ваш компьютер к применению обновления. Когда все будет готово, выполните тестирование, чтобы оценить возможное падение производительности. Проверьте, нет ли сообщений о неприятных побочных эффектах обновления, а затем обновите компьютер.