Kdo by to v těchto časech čekal, dámy a pánové, ale zdá se, že byla objevena bezpečnostní zranitelnost (lidově řečeno díra) související s procesory. Nejde v tomto případě přímo o hardwarovou chybu, jakož spíš o chybu ve firmwaru a souvisejícím kódu (podobně jako třeba v případě nedávných kontroverzně medializovaných zranitelností u AMD). I tak má ale nepříjemné „nesoftwarové“ dopady, pokud by byla zneužita nějakým malwarem.
Problém s označením CVE-2017-5703 se týká platformy procesorů Intel a paměti SPI Flash, ve které mají PC (ale potažmo i notebooky, servery) nahraný BIOS či přesněji řečeno UEFI, které legacy BIOS nahradilo v roli firmwaru. Firmware se dá aktualizovat, takže je do něj možno ze strany softwaru za určitých podmínek provést zápis. U procesorů Intel z poslední doby ale v těchto mechanismech byla nalezena slabá místa, která může zneužít útočník nebo malware. Lokalizována by zřejmě měla být v rozhraní čipsetu komunikujícím s pamětí SPI Flash a problém spočívá v tom, že řadič dovoluje některé úpravy, které by neměl.
Útok na tyto zranitelnosti podle popisu na webu firmy Lenovo může způsobit porušení nebo smazání obsahu paměti SPI Flash s UEFI. Takový zásah by mohl způsobit různé chyby, zejména ale znemožnit naběhnutí počítače. Podle Lenova by mohlo být znemožněno firmware aktualizovat a teoreticky dosaženo i spuštění libovolného kódu během bootu. V případě znefunkčnění UEFI útočníkem by byly následky dost nepříjemné. Pokud by se takovýto počítač jednou vypnul, už byste ho nenastartovali. Deska by byla jak se říká „bricknutá“. Pro nové naflashování zdravého BIOSu PC totiž nejdříve musíte nějak spustit, což ale bez UEFI nejde. Pokud by vás nezachránila přítomnost druhého záložního BIOSu na desce, oprava by nebyla v běžných domácích podmínkách možná. Čip s BIOSem by bylo nutné flashnout manuálně programovacím přístrojem, nebo fyzicky vyměnit.
Chyba je zneužitelná lokálním útočníkem, tedy typicky škodlivým softwarem, který na PC z nějakého důvodu spustíte. Vzdálené zneužití patrně možné není. Podle Intelu je závažnost na úrovni „high“ a ohodnocená je číslem 7.9 z 10.
Chyba byla nalezena přímo Intelem, zatím ji asi nikdo nezneužíval
Zneužití chyby naštěstí podle Intelu ještě nebylo pozorováno v reálném světě, tudíž snad nyní není nebezpečí bezprostřední. Intel uvádí, že problém byl objeven přímo jeho zaměstnanci, nikoliv třetí stranou. Zároveň už byla vyvinuta oprava, kterou firma předal výrobcům počítačů a desek. Oprava je však na úrovni BIOSu (UEFI), takže ji budou muset distribuovat tito výrobci, což její šíření patrně zdrží, jak už to tak chodí. Výrobci budou totiž muset ručně sestavit, validovat a vydat BIOS pro každý model.
Postižené generace (platformy) procesorů
- 8th generation Intel® Core™ Processors
- 7th generation Intel® Core™ Processors
- 6th generation Intel® Core™ Processors
- 5th generation Intel® Core™ Processors
- Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
- Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
- Intel® Pentium™ Processor J3710 and N37XX
- Intel® Celeron™ Processor J3XXX
- Intel® Atom™ x5-E8000 Processor
- Intel® Pentium® Processor J4205 and N4200
- Intel® Celeron® Processor J3455, J3355, N3350, and N3450
- Intel® Atom™ Processor x7-E39XX Processor
- Intel® Xeon® Scalable Processors
- Intel® Xeon® Processor E3 v6 Family
- Intel® Xeon® Processor E3 v5 Family
- Intel® Xeon® Processor E7 v4 Family
- Intel® Xeon® Processor E7 v3 Family
- Intel® Xeon® Processor E7 v2 Family
- Intel® Xeon® Phi™ Processor x200
- Intel® Xeon® Processor D Family
- Intel® Atom™ Processor C Series
Zranitelné mají být platformy uvedené v tomto seznamu. V prvé řadě jde o desktopové a notebookové procesory Brodwell, Skylake, Kaby Lake a Coffee Lake, tedy všechny mainstreamové procesory Intelu od roku 2015. Ale také Atomy. Nevím, zda je seznam úplně stoprocentně kompletní, ale podle různých modelových označení se jedná o čipy Bay Trail, Cherry Trail/Braswell a Apollo Lake. Kromě toho také serverové Atomy řady C, nejspíš včetně nejnovějšího Denvertonu, Xeony Phi řady x200 (tedy Knights Landing) a dále například enterprise Xeony E7-2800/4800/8800 generací V2, V3 a V4, což by měly být čipy Ivy Bridge EX (též Ivy Town), Haswell-EX a Broadwell-EX. Ale pozor, namočené jsou podle všeho také nejnovější Xeony Skylake-SP a také Xeony D.
Opět aktualizace BIOSů pro velké množství PC
Rozsahem postižení je tedy tento bug asi dost problematický, jelikož výrobcům dá hodně práce vydat BIOSy pro veškeré postižené počítače a desky (navíc nejde o první takový případ, totéž je nedávno přinutila udělat chyba Spectre a předtím zranitelnosti Intel ME). Doufejme, že to nepovede k tomu, že se výrobci na některé starší systémy vykašlou. Pokud běžíte na platformě Intel, patrně vás opět čeká zkoumání stránek s BIOSy, případně zjišťování, zda je váš notebook či deska touto chybou postižena. Intel doporučuje žádat aktualizaci BIOSu či informace o statusu zařízení od výrobce, ideální by ale bylo, kdyby všichni výrobci vytvořili podobné stránky s přehledem dotčených produktů a odkazy, jako má Lenovo (viz odkaz výše).
No pekne. Brick mi sice nehrozi (Gigabyte doska ma dual BIOS), ale neverim, ze to ostane len pri tom.
Zase kecy!
Nikdo neudelal spektre opraveny BIOS pro Skylake a nizsi a nikdo neudela BIOS pro Skylake a nizsi pro tohle. Ve skutecnosti, kdo nema Kaby Lake a Coffee Lake, ma smolika.
Slovy klasika:
https://youtu.be/vC51PVxbIsQ?t=153
Ale jinak ohledně microcode to bude chtít vyzkoušet UBU, když ASUS nic, tak holt musí sami uživatelé.
https://www.win-raid.com/t154f16-Tool-Guide-News-quot-UEFI-BIOS-Updater-quot-UBU.html
Flashovat SPI čip by mělo jít pomocí Arduina (ostatně samo Arduino / ESP8266 / ESP32 používají SPI flashku):
https://github.com/Marzogh/SPIFlash
To video.. :))))
Myslím že to jde udělat i třeba s Raspberry Pi (přes GPIO piny?), ale holt to chce znát někoho, kdo se v tom trošku vyzná.
https://tomvanveen.eu/flashing-bios-chip-raspberry-pi/
https://www.win-raid.com/t58f16-Guide-Recover-from-failed-BIOS-flash-using-Raspberry-PI.html
Microsoft už rozšířil mikrokódy až na Haswell:
https://support.microsoft.com/en-us/help/4093836/summary-of-intel-microcode-updates
snaží se lidi donutit k upgradu.
V posledni dobe se ty chyby rodi nejak casto, skoro by se dalo rict .. ‚made by Intel‘ :))
Co je podle mne ale horsi je, ze ty veci nejsou opravovane tak, jak by clovek od firmy, ktera si zaklada na kvalite (aspon podle nekterych zde) ocekaval.
Peace 😉
Dnesne CPU pri ich zlozitosti maju vela chyb(to plati aj o inom HW a SW). Nielen Intel je teraz viac tlaceny aby bol aktivnejsi v tejto oblasti.
To nema sancu vsetko opravovat ani ta najvecsia firma na svete. Pri tomto ekonomickom modely to nejde. To by zisky poriadne klesli a akcionari by neboli spokojny. Pozri si aj na ine velke firmy, tiez maju spustu chyb. Ak chces mas nejaku istotu tak zaklad je pouzivat produkty od dvoch roznych firiem, kde o dost klesa sanca aby si mal problem na oboch sucasne.
Alespoň si mají retardi jako ty nad čím přihřát polívčičku 🙂
Cece, dalsi zapomenute dite.. :))
No ty musíš být pěkný magor. Tady má Intel každý měsíc aspoň jeden průser a taková ubohost jako ty to tady zlehčuje. Hnus.
Porozumění psanému textu, větná skladba a trolling jsou evidentně nad tvé možnosti, měl bys na sobě zapracovat 😀
Myslím, že to opravujou docela dobře a rychle, ale naráží to na rychlost/schopnost/ochotu výrobců desek a PC vydávat nové BIOSy. Myslím, že na 2-3 aktualizace všeho za poslední tři roky ani teoreticky nemají kapacity. Bylo by třeba, aby se co nejvíc kritických firmwarů dalo nahrávat při bootu třeba z ovladače, který Intel může distribuovat globálně přes OS a bez validace/zprostředkování pro každý jednotlivý model desky.
Tak to bylo celkove konstatovani. Opravy pro Meltdown/Spectre neprobehly zrovna ucebnicove, co si budeme nalhavat. Velkohuba vyjadreni typu.. ze budou mit 90% PC fixnuta nekdy v lednu..
Ted ty problemy s Atomy, k tomu ten jejich slavny deravy IME, ktery ani poradne nezaplatuji.. myslim, ze toho je v posledni dobe docela dost a to vime jen o tom, co vyplavalo na povrch.
Možná by i měli, kdyby se nestala ta chyba. Jinak bacha, oni mluvili o tom, že udělají ten fix pro svoje procesory a ten mikrokód. Ne o tom, jak rychle to ti výrobci desek a PC pošlou dál. Stejně tak tady (nebo u těch chyb na straně AMD) se to bude protahovat na straně výrobců tím, jak musí ty firmwary předistribuovat a vydat pro XY produktů.
Jedna vlastovka jaro nedela – ale ze by se intel probral a zacat kydat vlastni chlevy?
co se řeší? Díry jsou všude, u Intelu, u AMD, akorát kdo řeší AMD, když ho téměř nikdo nemá? (mám na mysli firemní) … díry jsou, budou a sem tam někdo nějakou objeví …
Zarážející však je, že se poslední dobou rojí více chyb na produktech firmy, která je ekonomickým lídrem trhu a má na rozdíl od konkurentů dostatek prostředků na vše, co potřebuje. Pak to totiž začíná vypadat jako přílišná hamižnost ze strany vedení, které asi nechce investovat do testování tolik, kolik by bylo potřeba.
ROFL
A jaká hamižnost je tak akorát?
víš, když někdo ovládá 90% trhu, tak to pak vypadá, že je všechno špatně jen u něj …
Koduri na to přišel, on bude chtít hi-tec čip.
Intel, error inside. 🙂
Lucky 🙂
Mojho xeona to naštastie obišlo …uffik 😀
Jestli on nenadešel čas umístění BIOSu na MB ve formě například SDkarty (s širší možností archivace verze/nastavení).
Ne, opravdu nekoupim nový pc kvůli těmhle pokusům o donucení… smůla.
Další kratochvíle nás čekají.
Malware bude skenovat počítač pomocí Intel GPU.
https://www.svethardware.cz/intel-tdt-bude-skenovat-malware-pomoci-gpu/46435
No otcův Lenovo notebook z roku 2015 nedostal aktualizaci ani pro Spectre a Meltdown, tak je to s podporou, prostě na to výrobci totálně kašlou.
a na co by mu byla?