Restarty po opravách díry Spectre se týkají i dalších CPU Intel, problém s AMD vyřešen

54

Po provalení bezpečnostních děr Spectre a Meltdown, spočívajících přímo v procesorech, byly nutné urgentní aktualizace, které tyto zranitelnosti zalátávaly. A to v případě Meltdownu na úrovni operačního systému, ale v případě varianty 2 chyby Spectre obrana používá i aktualizace mikrokódu v procesorech. Minulý týden se ukázalo, že na obou úrovních se vyskytly – zřejmě pro nedostatek času na testování – problémy. U Intelu byly hlášeny restarty počítačů po aktualizaci firmwaru (mikrokódu), u AMD zase po aktualizaci Windows přestal systém fungovat. V obou těchto případech vyvstaly mezitím jak se říká „nové skutečnosti“.

 

Restartování počítačů hrozí na procesorech od Sandy Bridge po Kaby Lake

Intel teď aktualizoval informační stránku k dotyčným chybám o nové informace o problému restartujících se procesorů. Pro připomenutí, u části počítačů s procesory Haswell a Broadwell začalo po aktualizaci mikrokódu CPU (obvykle asi skrze nový BIOS desky) docházet k samovolným restartům. Bohužel se zdá, že problém je širší. Intel uvádí, že po zanalyzování potvrdil stejnou chybu i na dalších platformách. A to jak na starších procesorech Sandy Bridge a Ivy Bridge, tak i u novějších Skylake a Kaby Lake. Procesory Coffee Lake zmíněny nejsou, teoreticky je možné, se jim potíže vyhnuly. Nicméně kromě nich a Atomů by bylo zasaženo vlastně všechno relevantní (Nehalemu a starším se problémy vyhnuly, protože pro ně aktualizace není).

Tyto chyby zatím ještě nejsou opraveny, ovšem už se zřejmě podařilo udělat nějaký pokrok při hledání příčiny. Intel píše o tom, že se podařilo restarty replikovat a zřejmě i deterministicky vyvolat, i když není jasné, zda je již přesně známo, v čem problém vězí. Ovšem dle vyjádření Intelu budou již od příštího týdne pro výrobce počítačů, provozovatele velkých datacenter a podobné důležité partnery vydány beta verze nové aktualizace mikrokódu. To by implikovalo, že už by nějaké řešení mohlo být téměř nachystáno, byť Intel dodává, že analýza problému pokračuje. Tyto nové verze se ovšem nedostanou hned ven do světa. Zatím budou jen pro interní testování, neboť je třeba je samotné nejprve odladit a otestovat na chyby. Než případná ostrá verze opraveného mikrokódu probublá až k nám koncovým uživatelům, může ještě pár týdnů uběhnout.

Analýza problému s restartováním zatím pokračuje, příští týden by se ale interně mohla začít testovat první verze opravy
Analýza problému s restartováním zatím pokračuje, příští týden by se ale interně mohla začít testovat první verze opravy

Intel doporučuje přes riziko těchto potíží i nyní instalovat dostupné aktualizace, aby systémy byly před zneužitím chyb chráněné. Restarty by se údajně měly týkat jen počítačů s některými konfiguracemi, ne všech. Vytrvávat nebo vracet se ke staršímu firmwaru desky bych proto asi doporučil jen tehdy, pokud jste na problémy již sami narazili, nebo je případný nečekaný restart z nějakého důvodu absolutně nepřípustný.

Problém s rozbitými Windows na starších Athlonech a Sempronech je už snad pryč

O něco lepší zpráva je tu pro ty, kdo byli zasaženi druhým problémem, tedy nekompatibilitou aktualizací systému Windows proti Meltdownu a Spectre s některými staršími procesory AMD (mělo by jít o čipy s jádry K8 – Athlony 64 (X2) a Semprony). V tomto případě po aktualizaci systém nebyl schopen vůbec naběhnout a Microsoft po potvrzení této chyby distribuci oprav na postižené počítače pozastavil.

amd-athlon-64-procesorZdá se ale, že nyní už se instalace záplat opět rozběhla a nekompatibilita byla zřejmě vyřešena. Podle webu Neowin se oprava nachází v aktualizaci KB4073290, která povýší operační systém na sestavení 16299.194. Dostat by ji z Windows Update měly právě jen dotyčné počítače se staršími procesory AMD. Podle poznámek k vydání (viz níže) má tento update řešit právě problém předchozí aktualizace, po němž PC s procesory jako Athlon 64 nebyla schopná nastartovat. Tato šlamastyka by tedy snad mohla být u konce, pokud se tedy neukáže, že zůstaly ještě nějaké další mouchy.

An update is available to fix the following issue that occurs after you install January 3, 2018—KB4056892 (OS Build 16299.192):

AMD devices fall into an unbootable state.

Počítače, které už onu pro ně rozbitou aktualizaci nainstalovaly, přirozeně kvůli neschopnosti naběhnout nemohou z Windows Update opravu dostat. V případě, že už u nich problém nastal, je nutno nejprve provést obnovení do předchozího stavu tím, že předchozí chybovou aktualizaci odinstalujete. Mělo by to snad být možné učinit například z nouzového režimu, do kterého se lze dostat z nabídky dostupné při zavádění systému.

Ohodnoťte tento článek!

54 KOMENTÁŘE

  1. Mam k clanku tri poznamky:

    1. Znamena to teda, ze predchozi nepovedena aktualizace je pro pocitace s AMD procesry stazena a je nahrazena tou zminenou v clanku? A pro pocitace s procesory Intel stara rozbita oprava stazena neni a teda stale hrozi znefukcneni pocitace?

    2. Honza tu jiste nema sptane clanky a vetsinou je to k veci, ale do Spectry nebo Melty nebou obou oprav se zamiloval a placa si v jejich souvislosti jatrama. Jaky nutny urgentni aktualizace? Domacim pocitacum nic nehrozi a je nesmysl to zaplatovat. Datacentra a tezari vetsinu lidi absolutne nezajimaji!

    3. Tahle poznamka je spis filizofickym dotazem na Petra Urbana. TA oprava, tudiz TA Spectra a TA Melta. Neni od tech co to pojmenovali (Google?) trochu sovinisticke, dat i oprave zase v jednom pripade neutralni a v druhem dokonce pojmenovani v muzskem rodu? 🙂

      • Otec ma Kaby Lake a zatim bez restartu. Ovsem ani tak to neni duvod, abych instaloval neco, co nema zadnou pridanou hodnotu, jen se v malo pravdepodobnem ale moznem pripade muze projevit nahodnym restartovanim.

    • Problémy u Intelu způsobují aktualizace mikrokódu CPU, ne Windows – pravděpodobně. Nebo je to nějaká interakce, ale každopádně jen ty záplaty Windows to nezpůsobují.
      Postoj neaktualizování Windows není moudrej, to už jsem tu říkal. A radit to jiným lidem už vůbec.

      • Jako sorry Honzo, ale ve světle informace, že Intel veděl o problému už od června 2017 nelze tohle rychlé vydávání (nedodělaných) updatů nazvat jinak než obyčejná hysterie….
        Píšeš jak strašně to bylo důležité vydat ty patche co nejdříve i za cenu těch problémů s počítači nebohých uživatelů, ale co ten půlrok před tím ??? To nevadilo ?

        • A kdy by ty patche/opravy jako vyvinuli, pokud měly vyjít o půl roku dřív?
          Tyhle věci potřebujou čas (ponechme stranou že MS se to nejspíš dozvěděl později, Intel možná nejdřív hledal způsoby jak by se to dalo řešit interně – nevím, neznám přesné informace o tom, kdy se to kdo dozvěděl).

          Kdyby se to mělo řešit za měsíc nebo tak nějak, to byste teprve koukali, jaký třísky by lítaly, myslím. Nestabiliní by to bylo mnohem víc a ještě by se nejspíš rychle zjistilo, že ta první verze protiopatření úplně nefunguje. Hlavně si teda myslím, že za měsíc by se ta separace adresních prostorů v OS stihnout vůbec nedala, a měnit mikrokódem fungování CPU v takový době (tj. s tak krátkým časem na testování, to už asi vůbec).

          • PS: právěže celá kauza nahrává tomu, že to veděli půl roku dopředu, neudělali pro to absolutně nic, naopak se to snažili ututlat nebo bagatelizovat a teprve když se to provalilo ven, tak to začali řešit a narychlo v panice zplácali ty patche a podle toho taky vypadal ten výsledek…..

          • del42sa: Tohle bych uplne netvrdil. Ja myslim, ze se na to nevykvakli, ale ono to je tezce opravitelne, protoze to v podstate ani neni chyba. Je to v podstate hodne systemovy design soucasnych PC a najednou po nich nekdo chce, aby ho predelali.

            Podle me to bylo tak, ze Google to oznamil a vyrobci na tom zacali delat. V dobe kdy uz meli vymysleno, jak to zprovodit za sveta a normalne by to zacali testovat, tak doslo k tomu zverejneni a misto aby to otestovali a vypustili postizenym majitelum datacenter na Windows Enterprise a serverove edice linuxu, dost mozna se s opravou pro bezne domaci uzivatele Windows Home pripadne Windows Pro vubec nepocitalo, (i na Ubuntu to uzivatele schytali), tak to ve vznikle panice vypustili vsem a neotestovane.

          • No ale nikdo nerekl, kdy na tom zacali delat. Klidne mohli od leta. Uvedom si, ze tohle je designova chyba, na kterou oprava neexistuje.

            Je to o tom, ze ta „chyba“ je tam pritomna fyzicky, takhle ten procesor proste pracuje. Takze udelali, ze ty chyby obesli, kdy za cenu zpomaleni procesoru se neprojevi.

            To ze ted magorej je druha vec, verim, ze puvodni plan mohl byt klidne takovy, ze bude oprava volitelna a mohli na ni klidne delat pul roku a holt potrebovali jeste mesic dva na testy.

          • @Del42sa. Tutlat to nemohli, protože kdyby se na to vykašlali, tak to ti objevitelé eventuálně oznámí bez nich (až jim dojde trpělivost) a to by byl világoš. Co je možné, je scénář, kdy Intel/AMD chvíli tu chybu drželi v tajnosti během úvodního testování, kdy se třeba snažili najít řešení čistě mikrokódem nebo něco podobného (a samozřejmě nějakou dobu trvá pochopit, co přesně se tam děje). Je možné, že dodavatelům OS to pak přihráli třeba o dva měsíce později.

            Částečné řešení Meltdownu bylo už v Insider Buildech Windows z listopadu, což trošku dává představu o tom čase na testování a vývoj. Jestli to v listopadu bylo ve Fast Ringu, tak psáno to nejspíš bylo minimálně od léta (září, srpen?). U Windows se nedají velké změny dělat úplně rapidně jako v nějakém malém sw projektu, zvlášť když v tomhle případě pro testování asi musí udělat hodně kompletní rebuild a kompletní unit testing, jelikož se to dotýká celého systému.

          • @Jan Olšan: ale pokud na tom makali takovou dobu, a vyšlo jim z toho tohle, ale přitom opravu měli hotovou do týdne (!) tak nelze než si nepoložit otázku, zda nemohli klidně těch 7-14 dní počkat s vydáním těch updatů, pořádně to otestovat a vydat ty verze patchů , který nezpůsobí ty problémy s bootovaním počítačů.

            IMHO Rybka to tentokrát popsal docela dobře v tom článku na PC tuningu.

            „Pamatujete na BadUSB, antiviry nedetekovatelnou slabinu, která umí přeprogramovat mikrokontroléry v USB zařízeních a změnit je v nosiče malwaru? A pamatujete na to tsunami patchů, na ty laviny updatů, které všechna USB zařízení a jejich mikrokontroléry opravily? Ne, nepamatujete, protože se to nikdy nestalo. Ten problém je tam pořád“

      • To ze zastavas postoj aktualizovat Windows jako jedinny mozny reseni uz jsi tu sice rikal, ale nikdy jsi obstojne nevysvetlil proc?
        Chyby Spectre/Meltdown jsou zcela jasne zdokumentovany a zcela jasne z nich vyplyva, ze se chyba netyka bezneho domaciho uzivatele a ze mu nic nehrozi.
        Ja narozdil od tebe sve tvrzeni umim podeprit fakty a faktem je, ze zneuzitelnost je jen docasna, trva jen mikrookamzik a je pouze ke cteni, nemuze dochazet k uprave jakehokoli kodu na PC. Utocnik si tak muze neco precist, ale nemuze to menit a bezny domaci uzivatel v podstate nema na PC zadne dulezite informace, ktere by stalo za to cist. I to internetove bankovnictvi je dvoufaktorove a znalost hesla nikoho nijak neobohati, chyby neumoznuji ani zandani do PC uzivatele zadny malware, jsou jen pro cteni. Ovsem je to jeste vetsi sranda, protoze jak jsem jiz rekl, ze chyba trva jen mikrookamzik, tak byly zaplatovany webove prohlizece a tuto „chybu“ tak maji domaci uzivatele zaplatovanu uz na urovni web browseru, proste behem techto mikrookamziku nedovoluje prohlizec cteni a tim chyby odstranuje. Domacimu uzivateli tak zjevne nic nehrozi a kdo tvrdi opak jen zbytecne plasi.

        • „Chyby Spectre/Meltdown jsou zcela jasne zdokumentovany a zcela jasne z nich vyplyva, ze se chyba netyka bezneho domaciho uzivatele a ze mu nic nehrozi.“

          To IMHO teda fakt nevyplývá. Ani jasně, ani nejasně.

          • V poradku, presvedc me o opaku a rekni co domacimu uzivateli hrozi? Ja tvrdim, ze mu nic nehrozi, ale nemam problem si poslechnout a prijmout dobre vyargumentovany protinazor. Jenze nic takoveho jsem necetl, ac jsem se snazil, tak vsechno je to ve stylu bububu, odposlechnou vam hesla k internet bankingu, nikde ale neni popsana zadna technika jak.
            Az toto nekdo vysvetli, tak nemam problem to uznat, ale nic takoveho se nestalo.

          • No v tomhle je myslím důkazní břemeno na tobě.

            Mechanismus je znám, exploity už minimálně neveřejně existují, tak jak může tvrdit, že není riziko? Lidi dělající do bezpečnosti říkají, že je. Ty, komentátor v diskusi, tvrdíš opak, prý na základě stejných informací (nerozvedeno). Já teda i tak nějak by default věřím těm prvním.

            BTW, rizika jsem tam napsal: krádež údajů, hesel, možnost krádeže identity, údajů ke kreditce… Nejsem vůbec bezpečnostní expert, takže můžu jen tak nastřelovat. Problém se zranitelnostma je, že sofistikovanej útok dokáže uplést bič z ….. Jak ukazujou třeba ty hacky herních konzolí, kde se začne malou drobností a skončí to kompletním přístupem ke všemu.

          • „krádež údajů, hesel, možnost krádeže identity, údajů ke kreditce“

            Ale jak? Nekde ti na PC musi neco bezet, co dokaze cist ty udaje z cache procesoru a je tvuj problem, abys mel pocitac cistej a zabranil behu skodlive aplikace. Pres chyby Spektra/Melta nemuze nic k uzivateli odnekud neznamo odkud proniknout, protoze to jsou znovu opakuji cteci chyby.

            Tim je to proste dane, musis nejprve udelat nejakou akci, aby se chyba mohla projevit a vzdy bude existovat na drtivou vetsinu beznych PC nejakej jednodusi odecet tech udaju nez slozite pres procesor, kdyz uz tam v tom systemu neco budes mit.

            Stale tvrdim to same, ano ty chyby jsou obrovsky prusvih a doufam, ze uz to moje banka ma zaplatovane. Ale na me strane uzivatele tam je proste extremne male riziko a to mnohem mensi nez ze mi soucasna nedodelana netestovana zaplata nejak znefunkcni pocitac.

          • Na webovkách, který navštěvujeme, běží pořád nějakej javascript. To je cizí kód, běžící v mojem PC. Nic víc tyhle útoky bohužel nepotřebujou (exploit z webové stránky javascriptem je dokázaná věc).

            Jo, asi se někde v minulosti stala chyba, když jsme to dopracovali až sem, ale je to tak bohužel a není reálný operovat s tím, že teď průměrnej uživatel masově nasadí noscript v browseru a javascript přestane jako attack vector existovat.

    • Takhle presne vypada komentar, kdyz nekdo netusi ktera bije…
      Nenapada te, ze v momente, kdy to veslo ve znamost, tak ze ty firmy maji povinost reagovat. Muzeme se bavit o tom, nakolik ta reakce byla spravna nebo ne. Ale tvrdit, ze za to muze ‚histerie‘ novinaru..nechodis ty s Ovcackem na kafe? 😉

      • Jenže o tom to právě je. Způsob, jakým chyby vešly ve známost a hysterie, která následovala. To prostě JE mediální průser nejvyšší třídy, za který mohou jen a pouze novináři. A uspěchanost oprav je toho důkazem.
        Jenže kdyby v klidu počkali, dali čas na pořádné testování, nebyla by ta senzace…

          • postoj „neplašana“ (alias bohorovného klikače) si můžeš dovolit v okamžiku, kdy máš doma 1-2 PC. Pokud spravuješ už jen trochu větší síť, nedejbože pár stovek nebo tisíc PC, tak ti je tahle pštrosí politika úplně k ..ničemu. S rostoucím počtem PC a užovek totiž roste pravděpodobnost průšvihu ne lineárně, ale exponenciálně.

          • Tydyte vubec jsem nedoufal, ze bys ty neplasil take, ale opet navic uhybas stranou presne, jak jsme u tebe zvykly. Celou dobu tu mluvim prave o tech domacich uzivatelich, kterym nemela byt netestovana oprava nikdy dorucena, protoze jim nic nehrozi, vysvetleni vyse. Nikdy jsem ani naznakem netvrdil, ze pro datova centra je to zavazny problem. Nicmene ikdyby v rodine mel kazdy sve PC a dohromady jich bylo doma treba deset, tak ne neni v zajmu uzivatelu plasit s nejakou neotestovanou a zkriplenou zaplatou.

        • Pánové, kam na to chodíte. Ty články vesměs vyšly 1-2 dny před vydáním těch záplat.
          Kdybychom o tom nepsali, tak na 100 %, že dostaneme vynadáno že jsme se zaprodali a snažíme se to ututlat. Nejspíš do značný míry od stejnjnech lidí. Tahle konspirační mentalita (nejen?) u nás v kombinaci s „já to vím nejlíp a nikdo mi nebude nic cpát“, to je fakt radost.

        • Sorry kluci, ale jediny kdo trochu vi o cem bije, je odpoved Tynyta. A novinari maji jednak pravo a jednak se od nich ceka, ze budou o problemench informovat, v duchu jak o tom pise Jan Olsan.
          Tudiz psat, ze za nec muze „novinarska historie“.. to je opradu komentar, ktery za to stoji 😉

        • @BlueSun.. nekvalita tech oprav nerika prozatim nic jineho, nez ze nejsou dobre udelane. Muzeme spekulovat o tom proc. Jedni se prikloni k tomu, ze to jde na vrub politice MS a Intelu, druzi treba k tomu ze nebylo dost casu. Kdo to ale vi, je tak jedine ten, kdo v tech firmach sedi a ten ti to nerekne.
          Jinak v momente, kdy je neco znamo „verejne“ (ale i „neverjene“) asi tezko neco uz usedis…takze argumentovat tim, ze by se nic nedelo, kdyz by o tom nikdo nepsal, je s prominutim fakt hloupost.

          • nedělo by se nic ohledně bezpečnosti … má pravdu a vy všichni tady pod ním se mýlíte. Nové biosy a „kábéčka“ od MS často neřeší jen příchod nových CPU ale i podobné, možná větší problémy, které se ale nedostaly na veřejnost. Pokud by teď nebyl někdo „aktivní“, mohl mít MS půl roku, rok, dva navíc na testování, ideální řešení a vy byste neměli o meltu a spetře ani tušení …ty bláboly o lineární, ba přímo exponenciálním průšvihu jen dokládají, že Tynyt reaguje na něco, co nebylo řečeno …

          • Napřed si o tom Gogo něco počti, jak na ty zranitelnosti přišlo několik různých skupin nezávisle na sobě a jakým způsobem to oznámili, pak tu můžeš dělat chytrýho.
            Zatím je to jen plácání.

          • Aznohh: vidíš, a kdyby to ty skupiny nezveřejnily a následně z toho novináři neudělali šílenou hysterii, mohl být klid.
            Zažalovat obě bandy, pokud tím někomu způsobili velkou škodu.

          • Tak ono je dost pravděpodobné, že když na to přišlo několik různých skupin lidí nezávisle na sobě, tak na to přišlo i několik různých skupin hackerů a subjektů (NSA apod) které mají zájem jakoukoliv zranitelnost zneužít. Takže bez oprav by tak ty škody mohly být daleko větší.

            Spíš by se měli novináři zaměřit na to, proč nebyl Intel a spol schopnej za 7 měsíců od oznámení ty chyby ve spolupráci s MS opravit. Že mezitím jeho šéf prodal všechny svoje akcie, to už je jen taková třešnička na dortu.

          • gogo: běžně na tebe nereaguji, v tomto případě udělám výjimku. Domněnka, že by MS vydal „lepčejší“ patch, kdyby měl více času, to je taková hezká pohádka, kterou se opájí lidi, kteří vůbec netuší, jak to v takových korporacích funguje.

            Realita je taková, že tyhle korporace reagují rychle až když už hoří, tj. když jim doutná koudel pod zadkem. Jinak mají klid, piánko, maňána, leštění prdů na nekonečných interních telekonferencích. Aby taky ne, když „vývojáři“ sedí v Indii a jejich vrchní velitel je taky Ind se svou specifickou mentalitou (tímto se omlouvám Ballmerovi, o kterém jsem si kdysi myslel, že je blbec – dnes bych jej bral zpět všema deseti).

            Apropos: kdyby byla pravda ta věc o dostatku času na vývoj, musely by takové (několikrát odložené) Visty být prakticky dokonalé – nebyly; to ostatně nebyla jediné nově vydaná Windows.

            A ještě jedna věc: jestli si někdo myslí, že na díru v softwaru může přijít jen jeden člověk na celém světě, a tedy že nezveřejňování těchto zranitelností je záruka pocitu sucha a bezpečí, tak ne, to taky není pravda. Na těchto věcech pracují specialisté tajných služeb mnoha zemí (ony třípísmenkové „firmy“), pracují na nich lidi z podsvětí a spousta lidí, kteří se tím prostě jen baví a hledají uznání.

          • No pro většinu z nás špióni problém nejsou, ale dělají na tom i normální kriminálníci, nebo respektive lidi, kteří najdou díru, udělají třeba exploit, a pak se žíví tím, že je prodávají na černém trh dalším „subjektům“, kteří to pak zkusí zpeněžit/zbotnetizovat a tak dál.

            Je pravda, že třeba takovýty útoky ze Severní Koreje byly tak trochu obojí, trocha státního terorismu, trocha normální e-kriminality.

            BTW Vista byl spíš asi development hell – špatně nastavená vize, průtahy, příliš velký sousta, a nakonec zahození vývoje a začali znovu, proto to zpoždění. Applu se to v 90tých letech myslím stalo dokonce vícekrát za sebou, než se dostali k základu pro OS X vlastně koupením Nextu.

          • Honza Olšan: špioni samozřejmě problém jsou, protože oni tyhle nástroje vynášejí ven a používajhí soukromě, nebo je dokonce prodávají. Nedávno se jeden takový případ provalil.

            Ad vývoj OS: Nějak si nepamatuju na libovolnou verzi Windows, která by byla dokonalá v okamžiku uvedení (OK, beru W7, které samy o sobě jsou takový Vista SP2.) 🙂 Vždy se muselo čekat alespoň do SP1, souvisí to s tím, že takto velký moloch se prostě vyvíjet na první dobrou nedá, vždy se nějaké chyby objeví.

        • Joudům co jen čumi na net a sem tam si pustí nějakej warez je to jedno. Kdo na PC dělá něco serióznějšího, chce vědět o jakékoliv bezpečnostní díře co nejdřív.
          Těmhle lidem to ale nevysvětlíš.

  2. Ja som zakázal Windows update na všetkom čo mi doma beží. Nemám v PC ziadne firemné veci ani top Secret materiály aby som sa teraz bál že to niekto ukradne. Nemá ako a určite ho zaujíma nejaký obyčajný občan z dediny.
    Intel/AMD mali dosť času aby ak už update tak vyladený, a nie takéto faily. Update mi netreba BIOS updatovat tiež nepotrebujem.