Pozor, díra Meltdown není opravena na 32bitových systémech. Zranitelnost hlásí Qualcomm

89

Tak to vypadá, že začátek roku nebude nakonec ve znamení nejrůznějších novinek veletrhu CES 2018, ale masivního bezpečnostního průšvihu, který byl loni nalezen a letos odhalen ve většině dnešních procesorů pro PC i mobily, přičemž nejzávažnější je situace na CPU Intel, která jsou obsaženy v drtivé většině počítačů. Těmto zranitelnostem nazvaným Spectre a Meltdown už jsme věnovali dva články (první před zveřejněním, pročíst byste si měli minimálně ten druhý s oficiálními informacemi). Ovšem vypadá to, že virtuálního papíru se k nim ještě potiskne víc, pořád se totiž objevují závažné „nové skutečnosti“. Tou asi nejzásadnější je, že chyba Meltdown není zažehnána tak definitivně, jak to zprvu vypadlo.

Pro připomenutí: nově odhalené zranitelnosti kolem spekulativního vykonávání kódu výzkumníci rozdělili na dvě skupiny. Chyba Spectre postihuje alespoň teoreticky většinu moderních CPU a exploity pro ni jsou ověřené na čipech Intelu, ale i AMD, různých ARMech a také třeba Power7+, 8 a 9 od IBM (to už je oficiálně potvrzeno, budou potřebovat update firmwaru a OS). Spectre se považuje za o něco méně závažnou a ne tak snadno zneužitelnou, jako je druhá chyba Meltdown. Tou ve světě PC jí trpí jen procesory Intel (a to zdá se víceméně všechny, zatímco na procesorech AMD díra není kvůli odlišné architektuře; situace firmy VIA není známa). Tato slabina umožňuje běžnému kódu – včetně třeba javascriptu na webové stránce – číst data z privilegované paměti jádra operačního systému. Hrozit by tím mohla krádež citlivých hesel nebo třeba údajů ke kreditní kartě.

Oprava Meltdownu je jen pro 64bitové operační systémy

Chybu Meltdown (CVE-2017-5754 neboli také „Rogue Data Cache Load“) opravují aktualizace operačního systému, které již byly vydány (pro Linux, macOS 10.13 a Windows 7 SP1, 8.1 a 10). To jsou ony patche, které snižují výkon na procesorech Intelu. Ovšem vypadá to, že neopravují zranitelnost Meltdown až tak stoprocentně, jak jsme si mysleli. Podstata této opravy, nazvané v Linuxu KPTI (Kernel page-table isolation) a na Windows Kernel VA shadowing, totiž zdá se potřebuje 64bitový operační systém a jeho velký adresní prostor. To znamená, že na 32bitových operačních systémech není aplikována ani dostupná.

meltdown-textTo je docela závažné a bohužel vám tuto informaci prakticky nikdo neřekne. Já jsem na ni narazil na Twitteru Alexe Ionescua z Widnows Internals. Ačkoliv vám Windows Update na 32bitovém systému záplaty určené proti této skupině útoků nainstaluje, potřebné opatření proti Meltdownu v nich není. Totéž ovšem platí na Linuxu, ani tam 32bitové řešení neexistuje.

Na obrázku níže můžete vidět, jak dopadla „oprava“ na konvertibilním tabletu Asus Transformer Book T100TA, na němž jsou nainstalované Windows 10 v 32bitové verzi a už ve čtvrtek dostal aktualizaci KB4056890. Diagnostický nástroj Microsoftu pro PowerShell potvrzuje, že procesor Atom Z3740 vyžaduje opravu pro Meltdown (Kernel VA Shadowing), ale jak můžete vidět červeně o řádek níž, tato podpora není přítomna v operačním systému.

Windows 10 32bit po aktualizaci: chyba Meltdown zůstává stále neopravená. Asus Transformer Book T100TA 64bitové Windows bohužel nepodporuje (výstup z diagnostického nástroje SpeculationControl od Microsoftu)
Windows 10 32bit po aktualizaci: chyba Meltdown zůstává stále neopravená. Asus Transformer Book T100TA 64bitové Windows bohužel nepodporuje (výstup z diagnostického nástroje SpeculationControl od Microsoftu)

Tento 32bitový počítač je tedy i po aktualizaci chybě Meltdown stále vystaven a s ním zřejmě i ostatní PC, na nichž běží 32bitová Windows (či Linux). Pokud se vás to týká a máte tu možnost, důrazně zvažte instalaci 64bitové verze operačního systému, jinak zůstáváte proti Meltdownu zranitelní.

Bohužel, toto řešení není vždy možné, jelikož na mnoho počítačů nelze 64bitová Windows dostat při nejlepší vůli. Je to případ právě některých modelů s čipy Atom, které mají jen 32bitové UEFI, ačkoliv jde o 64bitové procesory. Jindy zase mohou být uživatelé počítače vázáni na 32bitový operační systém kvůli chybějícím ovladačům pro nějaký hardware. Nebo proto, že používají 16bitové aplikace pro velmi staré verze Windows či dokonce pro DOS – podpora pro 16bitový režim na 64bitové platformě neexistuje. Toto tedy znamená, že pro část uživatelů bezpečnostní díra Meltdown na procesorech Intel zůstává otevřená a softwarová oprava nepomůže. A je to o to nešťastnější, že se o tomto problému dostatečně neinformuje a většina uživatelů se nejspíš bude domnívat, že mají po aktualizaci pokoj. Místo toho se budou muset spolehnout na to, že je před případnými útoky na internetu ochrání zábrany například implementované do webových prohlížečů.

Na serveru si patch musíte zapnout sami

Mimochodem, ohledně Meltdownu je tu ještě jedna poznámka. Ochrana Kernel VA Shadowing není ve výchozím stavu zapnutá na serverových Windows, a to kvůli výkonu. Pokud ji jako administrátor chcete aktivovat, musíte tak učinit manuálně: viz web Microsoftu.

intel-pentium-silver-celeron-gemini-lake-bga-soc-procesor-1600

(Polo)Meltdown na ARMech

K chybě Meltdown máme ještě nějaké další novinky. Již neplatí, že je čistě problémem Intelu. Stejný exploit nebo jeho úpravu lze zneužít na procesorech Apple a také na Cortexu-A75. Nejnověji potvrdil, že jeho CPU Meltdownem trpí, také Qualcomm. Ten má v Snapdragonu 845 zřejmě upravená jádra Cortex-A75 a řeč by asi mohla být o nich. Ale není vyloučeno, že jsou zranitelná i některá další jádra jako Krait, Kryo nebo Falkor, která firma vyvinula sama. Zranitelnost by u nich měl jako na Intelech zalátat operační systém Linux nebo Android pomocí techniky KPTI, ovšem asi přijde podobná ztráta výkonu.

qualcomm-centriq-2400-1600Kromě toho ale bylo zveřejněno, že ve slabší formě je zranitelnost podobná Meltdownu také v dalších out-of-order jádrech ARM Cortex, a to A15, A57 a A72. V těchto případech není možné přečíst paměť jádra operačního systému, ale data mohou stále uniknout z registrů v procesoru, ke kterým by běžný proces neměl mít přístup. Jde také o slabé místo, ale méně závažné. ARM je toho názoru, že zde není třeba nějakých zvláštních softwarových opatření. Nejde tedy o kompletní chybu Meltdown. Tento problém byl identifikován přímo zaměstnanci firmy ARM a je možné, že se nachází i v dalších procesorech jiných výrobců, jen ho tam zatím nikdo nehledal.

Ohodnoťte tento článek!

89 KOMENTÁŘE

    • Pravděpodobně beze změny. To je fungování spočívající dost hluboko v CPU. Může být, že třeba u toho Spectre budou mít CPU už z výroby ten nový mikrokód, ale celkově budou asi pořád spoléhat na ty softwarové opravy. Nějaké rychlé opravy hardwaru by asi mohly být jenom přes „chicken bits“, teda skrze vypnutí nějakých optimalizací a funkcí = se ztrátou výkonu.
      Přijde mi to jako věc, co se bude muset změnit při návrhu další architektury. Ten Spectre to samé, ale tam to bude pravděpodobně potřebovat o dost víc práce.

  1. Cela zprava je velmi podivna, bylo by moudre, kdyby autor dohledal inforamce a zpravu updatoval nebo vysvetlil.

    Spectre – reseno na urovni OS (vyreseno, patch vydan) a na urovni aplikaci (protoze nejvetsi zneuziti hrozi pres wb prohlizec, tak nas zajimaji nejvice: Firefox ma opravu nasazenou, Chrome ???, Edge ???)

    Meltdown – musi byt zaplatovan OS i mikrokod, jedno bez druheho nefunguje. OS zaplatovan jak linux tak Windows, ceka se na zaplatu mikrokodu ze strany Intelu, do te doby tam dira stale bude.
    Co jsem se z clanku nedovedel, ale chapu to tak, ze zaplata na urovni OS funguje jen na 64-bit systemech? Zaplatu mikrokodu dnes Intel potvrdil, ze ma hotovou a zacne ji v nejblizsi dobe distribuovat. I tato zaplata se tyka jen 64-bit nebo jak to teda je?

    • Je to jinak.
      Spectre – oprava vyžaduje úpravu microcode, úpravu OS a úpravu příslušného software.

      Meltdown – oprava přes změnu memory managementu, čistě OS záležitost. Chyba se netýká AMD, tj. tam zůstává původní (rychlejší) způsob práce s pamětí.

      Chrome nasadí opravu v půlce ledna, nyní je možné zapnout experimentální nastavení, které oddělí jednotlivé webové stránky – stačí povolit nastavení chrome://flags/#enable-site-per-process

          • Jako duvod proc RyZen?

            No az mi nebude stacit vykonove Haswell, tak si nebudu kupovat procesor, kde jsou takove silene bezpecnostni diry (nejen tato, Intel Management je to same nebo jeste horsi). Ono to Intelu slo tolerovat, dokud nebyla konkurence a procesory od AMD mely polovicni vykon, ale pri dnesnich minimalnich rozdilech uz se clovek muze rozhodovat i podle dalsich parametru.

          • jaké šílené bezpečnostní díry mohou ohrozit právě tebe? Nic ve zlém, ale pravděpodobnost, že tebe, mne, další někdo nabourá a způsobí nějakou škodu, je nulová …

          • Ty silene bezpecnosti diry jsou tak silene, ze trvalo 20 let, nez na ne nekdo prisel. Pokud se na to podivas touto optikou, je zrejme, ze dalsi 50 podobnych zranitelnosti ceka na sve objeveni (nektere z nich na svuj leak z nastroju NSA).

          • Jasně, děr bude víc, ale problém je, že když o nich neví celý svět, může je zneužít jen pár znalých. Když už detaily zná kde kdo, útoků přibude. Je to asi jako s bezpečností OS – chyby budou využívány primárně u OS, které je mainstreamové. Proto na Linux je mnohem méně virů než na Windows.

          • Tak o tom zadna. Lide, co maji vypnute WindowsUpdate a jsou v pohode, holt k te pohode dostanou casem i problem 😉

    • Meltdown není řešen mikrokódem, jen OSem.

      Opravy v mikrokódu se týkají Spectre. Respektive to nejsou ani tak opravy, ale je to exponování dřív nepřístupných MSR bitů, které umožní, že u procesoru bude možné dočasně deaktivovat to nebezpečné chování prediktoru větvení (je to pro Spectre 2). Tj. by to mělo fungovat tak, že před vstupem do jaderného kódu se prediktor „vypne“ (nepřesné) a po návratu se zase zapne. Bude to stát nějaký výkon, ale ne tolik, jako kdyby se prediktor musel úplně vypnout, to by výkon degradovalo neskutečně.

      Zatím ale není jasné, jak moc CPU bude ten nový mikrokód potřebovat a co bude když ho nedostanou, takže jsem o tom ještě nepsal – snad do bude brzo jasnější.

  2. Ohledně 32bit mě to napadlo už před pár dny, ale tak nějak jsem čekal, že to mají vyřešené. Možná by to mohli řešit přes PAE, ale pak bude pokles výkonu ještě větší. Pro Intel nemožnost opravit Meltdown může znamenat největší problém v jeho dějinách, už vidím zástupy uživatelů, jak chtějí náhradu škody. Pro žalobce je to velmi dobré střelivo.

    Mimochodem, v listopadu byla zveřejněna informace o další díře v Intel Management Engine, a to od verzí 6.x až do současné. Reakce Intelu na to byla taková, že verze 6.x a 7.x nebude opravovat – uživateli poraď si sám.
    https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

    Stejně tak se Intel vykašlal na update ovladačů proti zranitelnosti pro starší n-kové WiFi karty, kterých se v noteboocích stále používá velké množství:
    https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr

        • no jasně, ještě najít tady hackera, který to umí přes tyhle „díry“ … a ten cizokrajný, který umí, ti na tvoje drobné víš co … větší šance je, že na tebe spadne balkon …

          • Pokud bude oprava chyby pres povinnou aktualizaci Windows, tak na Win10 ji budes muset nainstalovat tak jako tak a na Win7 v podstate taky, pokud se nerozhodnes vypnout WIndows update, coz teda ja sice mam vypnute, ale aktualizuju rucne Only-Security updaty, coz by potom neslo take a to riskovat rozhodne nebudu.

          • A co třeba bankovnictví, to používá prakticky každý a je lehké ho podvrhnou, včetně ověření přes sms.

          • Nejde moc o „hackera“, jako spíš o automaticky šířené napadení, jako jsou ransomware, nebo ty krádeže platebních údajů… nebo kryptoměn, když by na to přišlo – u těch je průšvih, že u banky přes pojištění a tak třeba něco zmůžete, ale ukradenej BTC vám nikdo nikdy nevrátí – jeden z důvodů, proč se mi moc nezdá, že by to měla být budoucnost, nebo teda spíš se bojím, aby to nebyla budoucnost :).

          • v tomhle případě asi nějaké „automaty“ nepřichází do úvahy, alespoň co jsem pochopil já … i na tej nejmenší atak je potřeba shoda různých okolností a že někdo při tom natrefí na něco relevantního … myslím, že tady děláte z komára slona … jiná věc je odvětví cloudu, serverů, protože jakákoliv škoda se násobí …

          • velkym cloudarum je to sumak. cloud navysi svoji kapacitu snadno, je to jen otazka penez, ktere vyrazi nejakym barterem z intelu. nejhur to dopadne na male firmy a podniky s nekolika standalone zastaralymi a pretizenymi servery. nicmene i tam je moznost, pokud je na serveru kontrolovan soubor bezicich aplikaci, zaplaty proste neinstalovat. preci jen se musi jednat o kod, ktery je spusten na serveru.

          • Hele Hnizdile.. a jak v cloudu, ktery slouzi jako host pro dalsi klientske OS, kde si kazdy instaluje co potrebuje kontrolujes „soubor bezicich aplikaci“? :)) Ty zase nevis o cem mluvis co…

          • Trombozo, uklidni se, vezmi si svoje prasky, dej si par facek pro osvezeni, precti si muj prispevek jeste jednou, a pak si delej co chces, protoze smesny uz zustanes.

          • Hele Idiote.. za prve.. velkym Cloudarum to uricte jedno neni. Pokud ti nic nerikaji pojmy jako rozpocty, nasazovani noveho HW do firem zmeny konfigurace HW, analyzy potebneho vykonu pro pocty klientu a podobne, nemame se o cem bavit.

          • Cloudaři určitě nebudou tvrdit, jak výkon jejich HW šel do háje. Prodali to za nějakou cenu, zákazníci měli očekávání, že dané řešení bude stačit jejich požadavkům. Bylo by od cloudařů hloupé, kdyby najednou říkali, že za onu zaplacenou cenu dostanou o desítky procent nižší výkon – to by taky zákazníci mohli od smluv odstoupit.

          • Ale no tak. To se da velmi snadno zmerit. Tohle by v zadnem pripade neuhadali. Bud mluvi pravdu nebo ne, a to se bezpecne ukaze.

          • No a o tom to je? Měření různejch lidí už ukazujou, že jim jde CPU usage nahoru.

          • Zatim jsem videl zde i jinde dohromady asi pet testu od jednotlivcu. Ze pujde cpu usage nahoru je zcela jiste, jde o to o kolik. Pokud MS a ostatni tvrdi, ze vetsina uzivatelu nic nezaznamena a s ostatnimi se to vyresi, nevidim v tom problem. Zatim nic nenasvedcuje nejake masove panice, krachujicim poskytovatelum a podobne, jak bylo nekterymi ocekavano.

    • Otázkou je, co je pravda. Sám jsem změřil -7 %.

      V diskuzi na Reddit kdosi měřil výsledky ve hrách. Zatímco průměry fps nijak zásadně neutrpěly, minima spadla na polovinu.

      Na Živě kdosi v diskuzi tvrdí, že jejich databázi to zpomalilo o 30-60 %.

      Počkejme si na finální opravy microcode, pak můžeme soudit.

      • To je tím, že je to ohromnej zásah do architektury OS, správa paměti je úplnej základ a normálně se tam šahá s velkou rozvahou a velkým testováním. Ty regrese jsou myslím i na Linuxu. Zhoršená stabilita se asi dala čekat.
        Některý ty komentáře hned říkaly, že změna jako kPTI v Linuxu by se normálně dělala třeba rok a patche by šly několika kolečkama testování, ne hup, tady to je, šup s tím do late-RC (!) verze. Tady holt nebyl čas, byl to prostě kritickej problém. Ostatně i teď jsou lidi, kteří to nechápou a říkaj, že tu zranitelnost schovávali dýl kvůli NSA a podobný nesmysly. Nechtěl bych ale vidět, kdyby to objevil nějakej cvok a dal na to jen takovou tu 90denní lhůtu a pak bezohledně ven, nebo to dokonce vypustil hned bez embarga…

        • Tohle neni ani nahodou pravda, tombomino ma pravdu, ze z nas delaji beta testery. A bohuzel se ukazuje, jak je system aktualizaci Win10 spatny. Sam jsem pusobil tady a jeste i jinde jako obhajce Win10, ale ted jsem rad, ze mam i Win7 a pracuju z nich. Na Win7 mam windows update vypnutej a jsem v pohode. Ty chyby sice ohrozujou vsechny, ale pravdepodobnost ohrozeni domacich uzivatelu je naprosto nepatrna, tady jde hlavne o databaze a servery vystrcene do internetu, dejme tomu na kazdem redakcnim systemu mate SQL a podobne, Na techto pocitacich se nutne musi spechat, jak to jen jde, ale u domacich uzivatelu melo byt ponechano minimalne na jejich rozhodnuti a ne ze Microsaoft znefunkcni lidem pocitace kvuli nepovedenemu patchi!!!

          • Redmarxi, zjevne mas mylne informace, takze bys nemel delat unahlene zavery.

            “ tady jde hlavne o databaze a servery vystrcene do internetu“ ne, nejedna se o napadeni zvenci, ale zevnitr. s „pripojenim do internetu“ to skutecne nesouvisi.

            Rict ze jsi v pohode kdyz mas vypnutej windows update muze, promin mi to, rict jen idiot.

            A vycitat microsoftu, ze patch blbne par uzivatelum na predpotopnim sempronu nebo duronu (!), delas si srandu? To plati i pro Tromba, samozrejme.

          • Hnizdo, laskave mne z tech svych prispevku vynech nebo skoncime u dalsi potycky. Ja ty tvoje tady taky nekomentuji.
            Dekuji za pochopeni

          • Na to jednou provzdy zapomen. To uz jsem ti ale rikal taky nekolikrat 🙂

          • Hnizdo, takze chces, at ti tady pod kazdym prispevkem pisu, ze jsi idiot, ktery nicemu nerozumi a jehoz jedinou naplni zivota je otravovat jako ves vsechny ostatni, kteri nepeji ody na tvuj zamindrakovany postoj k nekterym firmam?

          • ale vzdyt to stejne porad delas, sulinku, a kazdemu kdo s tebou v unisono demenci neplive na ty tvoje „korporace“ a dalsi vykorsitovatelske temne sily 🙂 mne to nevadi, kazdy pak hned vidi, kdo se odpovedne venuje faktum, a kdo predevsim napadanim diskutujicich. klidne si posluz, pekne se tu vyzvracej! 🙂

          • hnizdo, kamosovi to rozesralo uplne novej (1rok starej) pocitac, kterej jsem mu stavil na Kaby Lake (Asus B250, i5-7500, GTX1050Ti), takze mi tu nevypravej nejake tve neoverene bachorky!

          • Hnizdile, ja tady zvracet nechodim :)) To si pletes sam se sebou..
            Ja ti jen pisu, ze Idiot tveho kalibru, ktery neni schopen ani pochopit nektere zakladni veci (treba IPC, ze?) chodi diskutovat pod clanky, kde se schazeji lidi, co maji treba 20 let zkusenosti z ruznych odvetvi IT? Ti pak musi cist plecky od Tebe, kde jim pises, ze se myli, protoze Hnizdo, pablb prvni kategorie, jez pises kazdy prispevek ve smyslu Intel je nejlepsi, ma pravdu pricemz casto ani netusi, ktera bije? Chapes jak je to otravne co delas? Nechapes, protoze, jinak by jsi to nedelal…

          • Jinak Te Hnizdo chapu, ze z pozice malyho upatlanyho pohledu, nedokazes pojmout, ze nekdo treba stravil vetsinu sveho pracovniho nasazeni v zahranici na mezinarodnich projektech v cizich jazicich. Takove male Sci-Fi pro Tebe :))

          • Trombo, nezapomen doplnit, ze jsi pracoval nekolik let v anglicky mluvici zemi! :))

            Redmarx 8.1.2018 at 11:48 jake bachorky vypravim, prosim te? To o tech sempronech sem postnul Trombo, ktery pracoval nekolik let v anglicky mluvici zemi!
            Ja preci nerozporuju ze s tim muzou mit nekteri uzivatele problemy, je to holt zasadni zasah do jadra, ale delat drama z toho ze to nefunguje par lidem s cracknutym neaktualizovany antivirem nebo predpotonimi platformami…

          • Podivej hnizdo, jsou dve moznosti..bud se budeme vzajemne tolerovat, pres veskere vyhrady, ktere vuci sobe mame a nebudeme jeden druhyho komentovat naprimo a nebo to bude neustale konfrontacni a nikomu se to nelibi (teda alespon mne ne). Takze si vyber..

          • @Redmarx..pises to spravne. Kamarad ma problemy s WIn10 od momentu upgradu z Win7..bohuzel se chytil na spek. Posledni perlicka byla, kdyz mu Updaty preinstalovali Geforskovy driver a znefunkcnili mu hru…

          • tombomino 8.1.2018 at 12:45 Trombozko, tohle je verejne forum. Cemu nerozumis na vete „Na to jednou provzdy zapomen.“? Mne je tvoje urazeni a napadani ukradene, redakci zjevne take, tak je to predevsim tvoje vizitka, ze se venujes kopani do hrace misto do mice. Tak v tom klidne pokracuj, ja se budu dal drzet vecne roviny.

          • Hnizdo, ty nechapes jednu vec, ze v tvem pripade to nejsou urazky, kdyz te nazvu idiotem. To je proste konstatovani faktu, co se tyce tvyh technickych znalosti.. Muzu ti taky treba rikat Debil, protoze to je opet lekarsky pojem, ktery vystijje tvou technickou rovinu a neni nutne urazkou, stejne jako Idiot.
            Ty si neustale fandis, ze s tebou snad diskutuji.. mne jen otravujes jako komar, to je vsechno.

          • hnizdo: nedas si rict co? Pisu, nove PC s Kaby Lake, OS Windows 10 updatovany na Fall Creators, antivir Windows Defender a OS je koupeny s pocitacem v CZC, takze naprosto standardni uzivatel na standardnim hardwaru a stejne mu celej PC ten patch na Meltdown/Spectre (nevim ktery) rozvrtal a znefunkcnil.

            tombomino: ja sam jsem na Win10 odpojen od internetu, mam jeste i Win7, takze nic jsem nemusel updatovat a vse funguje OK. Jinak s Windows 10 nemam vetsi problem, ale je teda pravda, ze Fall Creators update nainstaloval nejakej debilni ovladac pro GeForce a ze jsem musel jit na web NVidie a stahnout ovladac a nainstalovat manualne a po te zase hry chodi OK.

          • Redmarx 8.1.2018 at 13:35 A co ti na to mam rict? Ze u mne i v mem okoli vse ok, ani z firem mi nevolaji? Jasne ze se VZDYCKY par problemu najde, ale nebudu z toho delat aferu. Nic vic nic min. Mne spis vadi to tvoje “ Na Win7 mam windows update vypnutej a jsem v pohode.“, to je fakt blbost, sorry.

          • Nemam zajem o vylepsovani Windows 7, takze jsem musel vypnout Windows Update a stahuju jednou mesicne ty Only-security update. Neni to teda, ze bych nezaplatoval diry, ale ted rozhodne pockam az jak se to vyvrbi.

          • Redmarx 8.1.2018 at 16:38 kdybys tohle rekl hned, ani bych nepip. to je dost rozdil oproti „vypnutemu windows update“, zejo.

  3. JJ ty minima v propadu fps jsem viděl, ale řádově to bylo cca 7%, těch článků je teď mraky, asi nejhůř to schytali SSD NVMe, tam to vypadá na dost velký propady. Ale to chce všechno nechat vyhnít, za cca měsíc se ukáže kdo, co, a jak.

    • Výkon bude ještě asi klesat po nasazení těch firmwarových oprav pro Spectre 2, ale ještě není jasné, kde všude to nastane, jisté je to zatím pro Skylake a zdá se, že firmware bude ještě minimálně pro Ryzen (i když Red Hat to prezentuje tak, že je to „pro jistotu“ – ale pro nás je důležitý spíš to, jestli to bude on by default nebo ne, než jak moc je to třeba).

      Takže na závěry je ještě brzo, i když samozřejmě bude stát za to změřit samostatně dopady obou věcí. Ale celkově nás dlouhodobě zajímá to, kolik bude celková cena.

      • Pro spectre uz je firmware venku, a zadna zmena:

        https://www.techspot.com/article/1556-meltdown-and-spectre-cpu-performance-windows/

        Jen benchamrky ssd vykazuji velke fluktuace, zbyva zjistit jestli je to skutecne zmenenym chovanim cpu nebo OS. Uz ted panuji znacne pochybnosti, ze branch prediction cpu muze ovlivnovat prenosy po PCI-E/nvme (nemuze) a jedna se tedy o zalezitost OS, ktery bude muset zjevne zmenit metodu prace s I/O vzhledem ke zmenam v rizeni pameti a jadra, na coz evidentne nebyl cas.

        • Problém benchmarků je, že většinou měří jedinou operaci. Pokud pustím hru, ona si nejdřív natáhne data do paměti a pak s nimi pracuje bez volání systémových služeb. Pokles výkonu se tedy neprojeví. Pokud ale k oné hře poběží něco na pozadí, třeba komprimace (byť i s nízkou prioritou), ta čas od času zavolá systémové služby, což povede k vyprázdnění TLB a velkému poklesu výkonu. Jenže na tohle benchmarky neexistují.

          To stejné i s benchmarky pevných disků – většina jich měří sekvenční čtení, kde když pošlu na systém požadavek načtení velkého bloku dat, systém to zpracuje vcelku a pokles výkonu zas tak významný nebude. Ale pokud budu střídat v rychlém sledu načtení kusu dat a výpočet s nimi, budou dopady zásadní.

          Proto výsledky z benchmarků nejeví nijak tragické poklesy, přitom reálné výsledky ze serverů jsou dost alarmující (poklesy výkonu o desítky procent). Dopad bude malý pro single-user scénáře, kde běží typicky jedna zátěžová aplikace. Jakmile ale pustíte víc uživatelů nebo jeden uživatel bude dělat multitasking s více zátěžovými aplikacemi (to je právě ten databázový scénář), půjde výkon do háje.

          • Musim rozporovat. Hra rozhodne behem sveho behu nedela „jednu operaci“. Hra zamestnava GPU, zvukovku, v pripade multiplayerovych sitovku, a v pripade sandboxovych her i disk. Na pozadi bezi zpravidla AV a neprekvapive, cele windows.

            Benchmarky pevnych disku testuji samozrejme jak sekvencni cteni, tak mnoho patternu nahodneho r/w. Mas to v tech testech. Co je na techto poslednich testech podivne, ze nektere benchmarky ukazuji rozdily treba 4kB block random read v radech desitek procent. To vypovida spis o jejich metode k pristupu k storage, nez o vykonu disku, ale i to je dulezity parametr. Musi se to overit a zduvodnit.

            Samozrejme, ty testy nezahrnuji server load, a uz vime, ze spousta server aplikaci bude mit problem, o tom take neni pochyb. Ale „server“ a „desktop“ jsou dve ruzne oblasti, mezi kterymi neexistuje korelace, desktop benchmark neni relevantni pro posouzeni dopadu na server aplikace.

          • @Eagle.. mas nejake vysvetleni proto, proc programy, kde se upravuji obrazky jsou vic nachylne na ztratu vykonu?
            Daji se najit retesty, kde to ztraci rozmezi 5-10% po aplikaci zaplatach

          • tombomino 8.1.2018 at 12:53 Clovek by cekal, ze jedinec co pracoval nekolik let v anglicky mluvici zemi to z tech tun faktu uz pochopil… Mozna je to stejny duvod jako u 7zipu – tedy zpracovani hromady malych fajlu, tedy velke I/O? Tedy to Mlho, o cem se tu vsude uz par dni bavime? 😉

          • @tombomino: to nevím, u jednoho obrázku bych čekal spíš zpomalení malé. Možná ještě kdyby tam byla akcelerace grafikou, ale to moc smysl nedává.

            Další dva moje benchmarky:
            Kompilace v Arduino IDE nad ESP32 knihovnami
            bez Meltdown: 25s
            s Meltdown: 27s
            -> zpomalení o 7.5 %.

            SHA1 v Total Commanderu (využívá optimalizované systémové knihovny):
            bez Meltdown: 55s
            s Meltdown: 54s

        • „Pro spectre uz je firmware venku, a zadna zmena:“
          Že vy lidé vždycky víte všechno hned a definitivně, i u Meltdownu zaručeně ne pád, ale zvýšení výkonu 🙂
          Já si počkám až bude jak se říká víc a lepších informací, sorry 😀

          • Někteří ptáčci jsou totiž strašně moc chytří, skoro jako pánbůh. 😀

          • Jan Olšan 8.1.2018 at 19:33 „Pro spectre uz je firmware venku, a zadna zmena:“ „Že vy lidé vždycky víte všechno hned a definitivně,“ to byl komentar k danemu testu s vazbou na tvuj prispevek , kde postradas dopady update firmware. poskytl jsem test noveho firmware, a okomentoval vysledek. Pracuji s tim co mam, informacim davam vahu podle duveryhodnosti zdroje, a z toho co mam jiny trend nevypliva. Zadne definitivni zavery nebo uzavreni kauzy jsem nepodaval.

    • Vidim, ze jsi dobre informovan. Mam Windows 7 a desku Asus H97 Plus s Xeon E3-1231v3. Takze neinstalovat ani patch od MS, kdyz nebude ten update BIOSu?
      Mam vypnuty windows update, instaluju jen only-security update rucne. Da se nejak tem patchum snizujicim vykon vyhnout?

      • Pokud nevydají BIOSy, budu to řešit přes update microcode z Windows. To je proveditelné, byť je to opruz. Případně by sám Microsoft mohl vydat update pro Windows s novým microcode – facilita pro tuto funkci v systému je a v minulosti už toho párkrát využili (knihovny mcupdate_GenuineIntel.dll a mcupdate_AuthenticAMD.dll). Modifikovat BIOSy se mi nechce, to je pracné a rizikové. Bohužel asi Core 2 pošle Intel úplně ke dnu a nový microcode pro něj nebude, takže tam asi smůla a tyto počítače budou mít slabší bezpečnost.

        Patch by podle mého instalován měl být, pokryje Meltdown. Microcode update je pro pokrytí Spectre. Ty patche se navíc dají zneaktivnit záznamem v registrech.

    • OS muzes zaplatovat i bez aktualizace Microkodu (BIOSu). Radeji ale chvilku pockej, pokud muzes, nez se vychytaji pripadne chyby tech patchu v OS.
      Jinak patchum se vyhnes jedine tim, ze je nenainstalujes,..dokud nevymysli MS neco lepsiho 😉