Od začátku ledna řešíme odhalená zranitelná místa v procesorech. O tomto vás dění vydatně zpravuje kolega Jan Olšan. V tuto chvíli si dovolím krátce se mu vmísit do řemesla. Microsoft totiž nějaké aktualizace, které problémy řeší na straně systému, již vydal, ale pak vznikly komplikace. Dokonce se objevila aktualizace, jež bere zpátky jednu provedenou změnu.

Již složitý aktualizační systém je dočasně ještě nepřehlednější než dřív, tak se pokusím situaci přehledně popsat. Zdůrazňuji, že se budu soustředit jen na aktualizace pro Windows, nikoli např. na aktualizace firmwaru, s nimiž to také bylo, je a nejspíš bude složité. Dále si dovolím vás odkázat na článek Jak je to s opravami chyby Spectre, kde kolega popisuje díry a způsoby ochrany včetně výsledného řešení ve Windows, pokud stojíte o detaily.

Pokud vás téma zajímá, sledujte štítek zranitelnost.

První aktualizace

Držet se budu dnes již jednoznačně dominantně rozšířené verze Windows 10 Fall Creators Update. Aktualizace ovšem vyšly analogicky také pro starší verze Windows včetně Sedmiček, byť ovšem pod jinými označeními. Dne 3. ledna vydaná aktualizace KB4056892 nabídla opravy proti chybám Meltdown a Spectre. Tuto verzi můžete doteď používat, číslo sestavení systému je 16299.192.

Druhá aktualizace

Některé stroje s procesory od AMD po instalaci léčebné dávky zaznamenaly alergickou reakci – systém se nedokázal spustit. Distribuce aktualizace byla na těchto strojích dočasně pozastavena a dne 17. ledna pak Microsoft potichu vydal opravenou aktualizaci pod označením KB4073290. Po instalaci se číslo sestavení systému zvedne na 16299.194.

Windows 10 build 16299.194
Windows 10 build 16299.194

Podotýkám, že tato aktualizace není uvedena v oficiálním seznamu vydaných aktualizací. Někteří nicméně tuto verzi systému mít mohou. Podotýkám, že balíček neobsahuje navíc žádnou další ochranu navíc oproti první zmíněné aktualizaci. Instalovat ji tak ručně můžete i na počítačích postavených na Intelu, nepřinese vám to ovšem žádný benefit.

Třetí aktualizace

Dne 18. ledna vyšla ještě jedna aktualizace, ale opět jen pro specifickou skupinu strojů. Aktualizace KB4073291 specificky přidává ochranu 32bitových edic Windows 10 v1709, kterým totiž chyběly některé opravy, které již byly dříve dodány strojům 64bitovým. Po aplikaci tohoto opravného balíčku se číslo sestavení systému zvedne na 16299.201.

Microsoft popis zkrátil na nezbytné minimum, takže reálně nevíme, co konkrétně má být ona dodatečná ochrana. Buď jak buď, na dnes již málo rozšířených 32bitoých sestavených se můžete setkat s uvedenou verzí systému. Připomínám, že číslo sestavení stávající instalace si uvěříte např. příkazem winver, který lze mj. vyhledat v nabídce Start.

chyba meltdown spectre procesory 1600Ale pozor, u této a výše uvedených aktualizací jsou uvedeny nikoli banální známé problémy. Po instalaci může Windows Update nesprávně hlásit, že aktualizace nebyla nainstalována. Nemusí se vám podařit se přihlásit k některým online účtům v prohlížeči Edge. Především můžete pozorovat nestabilitu systémů končící kolapsem kvůli nekompatibilitě s některými antivirovými řešeními třetích stran.

Čtvrtá aktualizace

Dne 27. ledna pak vyšla další aktualizace (KB4078130), která působí spíše symbolicky. Váží 24 KB a jednoduše řešeno ruší již aplikovanou opravu chyby CVE-2017-5715, tj. jednu ze dvojice chyb označených souhrnně jako Spectre. Je ale potřeba zdůraznit, že není distribuována všem skrze Windows Update. Lze si ji jen stáhnout ručně a aplikovat by ji měli pouze ti, komu dosud vydané a výše zmíněné aktualizace začaly působit problémy se stabilitou počítače.

K tématu: Chyby v aktualizaci CPU proti Spectre jsou vážnější, Intel ji stahuje z oběhu

Je to tedy něco za něco. Počítač bude stabilní, zato opět o něco více otevřený útokům. V rámci kritické situace bude k určitým pokrokům docházet průběžně zřejmě ještě dlouho, takže nezbývá než čekat, až narychlo sestavené opravy nahradí opravy kvalitnější. Zatím není známo, že by ke zneužití děr v procesorech docházelo, z čehož usuzuji, že stabilita má přednost.

Aktualizaci KB4078130 je možné aplikovat na zařízeních s Windows 10 (všechny verze), ale také Windows 8.1 a Windows 7. Tentokrát Microsoft kromě ní nabízí i manuální cestu, jak dosavadní opravu chyby CVE-2017-5715 vypnout. Musíte provést dva příkazy:

  1. reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
  2. reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Pro případnou opětovnou aktivaci ochrany proveďte tyto dva příkazy:

  1. reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
  2. reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Microsoft se zde odvolává na Intel. Možnost vypnout opravu nabízí v reakci na odkazované prohlášení Intelu, že dosavadní řešení mohlo vést k nestabilitě, jež mohla způsobit porušení dat. Microsoft dále doporučuje opravu znovu zapnout ve chvíli, kdy Intel oznámí, že je to bezpečné, tj. kdy vyprodukuje stabilní opravený mikrokód pro své procesory.

Ohodnoťte tento článek!

12 KOMENTÁŘE

  1. Na Windows 7 mam windows update vypnuty a aktualizoval jsem potrebne only-security update rucne, naposledy v prosinci. S aktualizacema je konec a nehodlam si sve Windows 7 zaplevelit kretenskyma zaplatama.
    Na Windows 10 jsem podle navodu na netu aktualizace zakazal, mam nastesti Windows 10 Pro, takze to jde pres gpedit.msc udelat na vyzadani + jsem vypnul Windows update, ale ten se obcasne zapina zpet. Je jasne, ze na Windows 10 budu chtit Redstone 4 ??? proste dalsi velky update a pokud to bude jeho soucasti jakoze asi jo, tak ty aktualizace nakonec dostanu. S tim se holt nic delat neda.

    Doporucuji vsem lidem, pokud to jde, prestat aktualizovat. (Bohuzel na Windows 10 Home to v podstate ucinne nelze.)

    • Já mám opačnej problém. Mám Windows 10 a miluju aktualizace. Nikdy jsem s nima problém neměl.
      Naštval mě ale Microsoft. Předposlední aktualizace revize 192 se mi nějak nechtěla automaticky přes windows update stáhnout, tak jsem si ji nainstaloval ručně přes dism. Po čase jsem nejspíš zjistil proč, nemám antivir, defendera odstraněnýho a Microsoft si vymyslel nějaký klíč v registru, kterej antivir musí zadat aby se mohli stahovat aktualizace, grrr, a co když nemám antivir? Proč bych si jako měl dávat do registru nějakej klíč? No tak jsem si ho tam dal a ejhle, 194 se mi zas nestáhla, tak jsem si ji zas musel nainstalovat ručně, ale ta nejspíš proto, že nejspíš na mém pc není potřeba, kdy mám 192. No uvidím za 14 dnů, doufám, že se příští aktualizace nainstaluje sama…
      💖 🎜🎝🎜🎝 Celia Cruz – Te Busco 🎜🎝🎜🎝 💖

        • Jednodušší? Zápis jednoho klíče v registru mi nepřijde jako něco složitého. A já jej nemám jen vyplého, já jej nemám vůbec, mám jej úplně odstraněnýho, takže jaksi jej nemůžu zapnout a opravdu jej nechci dávat nazpátek.
          Rozumný důvod proč jej mám odstraněný mám a ne jeden, třeba:
          – každý antivir je zbytečný, takže proč bych měl mít v systému něco zbytečného?
          – pokud děláš něco jednoduchého třeba otevřeš jeden textovej soubor tak rozdíl nepoznáš, ale pokud děláš furt něco složitého tak to už poznat jde. Dokonce tak moc, že když jsem testoval instalovat trialku Photoshopu ve virtuálce a zapomněl jsem tam vypnout defendera, tak ta instalace byla tak pomalá, že jsem instalaci típnul, zakázal defendera, a provedl instalaci znovu, přičemž byla provedena fofrem. Když se mrkneš na nějaké testy antivirů na netu, tak rychlostně není nic moc defender ani v těch testech, takže se to nezdá jen mně.
          – každý antivir je další bezpečnostní riziko. Čím míň rizik máš na pc, tím je bezpečnější. Pamatuju si třeba problém defendera s mailama, kdy šlo myslím vykonat nějaký kód v mailu nebo co to bylo.
          Stačí tak? 💪
          🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼🌷🌻🌼

          • Je to tvuj boj, Defender se Microsoftu povedl a ja jsem rad za to, ze ve Windows 10 je, jinej antivir bych nechtel.

          • Redmarx:
            Jakej boj? Já žádnej boj nesvádím. To, že ty si rád za Defender je sice možné, ale já za defender rád nejsem, bral bych, kdyby byla oficiální instalačka pro nelamičky bez defenderu.

          • Hurtá. Upgrade na revizi revizi 214 (KB4058258) proběhl automaticky a opět bez sebemenších problémů.

  2. Používám Windows 10 32bit na notebooku s procesorem Intel a diskem SSD.
    Počítač si v klidu na pozadí stáhl nějaký update po 22. lednu a po restartu končím na modré obrazovce = počítač se nespustí, nemůžu ke svým datům! tyhle aktualizace a updaty poškozují uživatele daleko více, než život s chybou, kterou mají opravit!!
    Děkuji Microsoftu za další bezesný den a noc.
    Nakonec to vyřešil návrat k bodu obnovení právě k 22. lednu. Pak proběhl znovu autoupdate, který opět končí modrou obrazovkou při zavádění systému. Následovala opět obnova k bodu obnovení a zákazník Microsoft update.
    Jsou to hlupáci.

    • 32 bit aktualizace na Spektru neni a MS na to „omylem“ rouboval 64bit patch, takze modra obrazovka standard. Novejsi PC by uzivatele meli mit 64 bit OS a stara PC nikdy nemela Windows 10 dostat, svym zpusobem chyba na strane uzivatele. Vim, ze to neni prijemne poslouchat, ale bohuzel.

      • Trošku hloupé z chyby Microsoftu obvinit nic netušícího uživatele. Hlavně ať vymyslej co s tím!
        Mám zakázané aktualizace, vypnutou službu update a jsem zase po restartu na blue obrazovce stop, grrrrrr!