image

Microsoft rolt update uit die Spectre-bescherming uitschakelt

maandag 29 januari 2018, 10:14 door Redactie, 22 reacties

Microsoft heeft dit weekend een update uitgerold die de bescherming tegen de tweede Spectre-aanval uitschakelt. Dit vanwege problemen met de bios-updates van Intel die voor reboots en onverwacht systeemgedrag kunnen zorgen, wat weer tot dataverlies kan leiden.

De Meltdown-aanval raakt alleen Intel-processors, maar Spectre is een probleem waar alle moderne processors kwetsbaar voor zijn. Er zijn twee varianten van de Spectre-aanval. Zo is het mogelijk om via de Spectre-aanval informatie uit het geheugen van een systeem te stelen, zoals wachtwoorden. De aanval is via JavaScript uit te voeren. Updates die Intel uitbracht om Meltdown en Spectre te voorkomen zorgden bij allerlei gebruikers voor problemen.

Microsoft stelt dat de systeeminstabiliteit die de Intel bios-updates veroorzaken in sommige gevallen voor dataverlies of beschadiging kunnen zorgen. Naar aanleiding van de problemen met de bios-updates besloot Intel die terug te trekken en aan nieuwe updates te werken. In afwachting van deze nieuwe bios-updates heeft Microsoft een "out of band" update uitgebracht die de bescherming tegen de tweede variant van de Spectre-aanval uitschakelt. Dit voorkomt namelijk de waargenomen problemen bij Intel-systemen, aldus Microsoft.

De update is beschikbaar voor Windows 7, Windows 8.1 en Windows 10. Voor de installatie ervan wijst Microsoft naar dit document (pdf) van Intel met problematische bios-updates. Gebruikers met een getroffen systemen kunnen de Windows-update van Microsoft via de Microsoft Update Catalogus downloaden.

Voor "gevorderde gebruikers" is er daarnaast een nieuwe optie om de bescherming tegen de tweede variant van de Spectre-aanval handmatig via het Windows Register uit en in te schakelen. Microsoft laat verder weten dat er nog geen meldingen zijn dat Windows-gebruikers via de tweede Spectre-aanval zijn aangevallen. Windows-gebruikers krijgen het advies om de bescherming tegen de tweede Spectre-aanval weer in te schakelen als Intel een nieuwe bios-update heeft uitgebracht.

Reacties (22)
29-01-2018, 10:45 door Anoniem
Wat een puinhoop is dit allemaal....
Voor de 'gewone man' in de straat is hier al niet uit te komen, laat staan voor de gevorderde gebruiker.

En mensen met wat oudere hardware moeten ook nog maar afwachten of ze de benodigde hardware updates krijgen.
Er draaien hier nog veel systemen die ouder zijn dan 6 jaar prima mee, omdat de CPU's niet significant sneller zijn geworden in de laatste generaties.

Thanks Intel!!
29-01-2018, 11:54 door Zeurkool
Door Anoniem:
Voor de 'gewone man' in de straat is hier al niet uit te komen, laat staan voor de gevorderde gebruiker.
Je bedoelt het vast andersom.
29-01-2018, 11:59 door [Account Verwijderd]
We zijn niet anders gewend meer van Microsoft de laatste jaren: onvoldoende geteste software en updates. Amateurisme ten top. En dan maar zeggen dat Windows zo gebruikersvriendelijk is.
29-01-2018, 12:30 door Tha Cleaner
Door Linux4: We zijn niet anders gewend meer van Microsoft de laatste jaren: onvoldoende geteste software en updates. Amateurisme ten top. En dan maar zeggen dat Windows zo gebruikersvriendelijk is.

En hiervoor registreer je speciaal een account?

Daarnaast heeft het lukkig ook niets met de brakke Intel bios update te maken.... O wacht.... Dat is de redenen van de onstabiliteit en Intel heeft die update terug getrokken.

Microsoft stelt dat de systeeminstabiliteit die de Intel bios-updates veroorzaken in sommige gevallen voor dataverlies of beschadiging kunnen zorgen. Naar aanleiding van de problemen met de bios-updates besloot Intel die terug te trekken en aan nieuwe updates te werken
29-01-2018, 12:33 door Anoniem
Wellicht dat de europese unie,intel een boete op kan leggen.

En dat de mensen een vergoeding voor de aanschaffing van een nieuwe pc kunnen krijgen,
met de nieuwste intel super-chipset die wel veilig is.

Google kan niet wachten hierop,die zullen allang blij zijn,
want tja het is hun grootste droom,om te streven naar de verbeterde nano-chipsets,
die ze uiteindelijk kunnen gebruiken voor hun infra-structuur wereldwijd,om de mensheid verder te
kunnen controleren en monitoren.
29-01-2018, 12:48 door Anoniem
BIOS-updates van Intel? Microcode heeft niets met het BIOS te maken.
29-01-2018, 14:22 door Anoniem
Door Anoniem: BIOS-updates van Intel? Microcode heeft niets met het BIOS te maken.

ik adviseer je eens een googeltje hier aan te wagen (hint: in een BIOS kan een mu-code update zitten).
29-01-2018, 15:49 door Anoniem
Door Anoniem: BIOS-updates van Intel? Microcode heeft niets met het BIOS te maken.

Microcode heeft van alles met de BIOS te maken. Ga je eerst even inlezen.
29-01-2018, 16:36 door Anoniem
Die executable geeft geen tekst op de command line of in een GUI. Wat is de normale output?
29-01-2018, 18:38 door Eric-Jan H te D
Door Anoniem: BIOS-updates van Intel? Microcode heeft niets met het BIOS te maken.
Deze opmerking heb ik vaker zien langskomen. Wanneer een OS wordt aangepast om kennelijk in samenwerking met deze microcode samen te werken om het bewuste lek te dichten, waarom zou dat dan niet voor het BIOS/UEFI gelden. Aan te nemen valt dat gelijktijdig met de microcode update ook het BIOS/UEFI zijn aangepast.
29-01-2018, 19:35 door Anoniem
Wat ik mis
De update nu wel of niet installeren
Uitschakelen als intel met een updage komt
Hoe doe je dat
Graag een antwoord
29-01-2018, 19:43 door Anoniem
...
waar blijft het nieuws over het misbruik van meltdown en spectre?

Als dat er niet is, dus dat de dreiging meevalt zou je ietswat minder overhaast gedrag verwachten van den leveranciers.
29-01-2018, 20:31 door Anoniem
dus wie keine problemen heeft
Deze update NIET installeren
Want die haalt de bescherming tegen meltdown en spectre weg
Dat klopt toch???
En neem een AMD processor
29-01-2018, 21:04 door Anoniem
Kunnen ze niet gewoon een nieuwe (Security-only) update uitbrengen?
Dus één waar alles van de vorige update in staat behalve datgene wat fout gaat.

Nu moet je dus eerst de update installeren waarmee de boel verpest wordt en daaroverheen een update die dat weer opheft.
Die eerste update heb ik dus van mijn PC verwijderd omdat de PC daarna alleen nog maar wilde hersterten door de resetknop in te drukken. Ik voel er niets voor die update er alsnog op te zetten!

Inderdaad een grote puinbak bij Microsoft.
Lekker bezig daar...
29-01-2018, 22:38 door Anoniem
Ze hadden dus waarschijnlijk nooit gerekend met deze onthullingen.

Er zijn toch nog vele andere veiligheidsgaten waar jaren en jaren lang bewust op gezeten is
en die lekker werden misbruikt tegen de eindgebruikers.

Zijn ze daarmee gestopt ineens? Ik vrees van niet.

Ik denk niet dat dit aan Microsoft ligt in dit geval.

Eerder aan slechte samenwerking over de gehele breedte door Big Tech.
29-01-2018, 22:44 door -karma4
Door Anoniem: Waar blijft het nieuws over het misbruik van meltdown en spectre? Als dat er niet is, dus dat de dreiging meevalt zou je ietswat minder overhaast gedrag verwachten van den leveranciers.

Inderdaad! En daarom heeft bv. Debian Linux een pas op de plaats gedaan en hoeven ze nu geen halfslachtig in elkaar gedraaide slechte updates terug te draaien.
30-01-2018, 09:15 door Anoniem
Door Anoniem: Kunnen ze niet gewoon een nieuwe (Security-only) update uitbrengen?
Dus één waar alles van de vorige update in staat behalve datgene wat fout gaat.
Dan moet die er eerst zijn. Het probleem is dat men bij Intel en bij de makers van besturingssystemen en compilers nog druk bezig is met het bedenken en uitwerken van oplossingen. Je kan geen update verspreiden met iets dat er nog niet is, en iets verspreiden dat nog niet af is en vol problemen zit is precies de fout die Intel had begaan en die de reden is dat die microcode-update wordt teruggetrokken.

Nu moet je dus eerst de update installeren waarmee de boel verpest wordt en daaroverheen een update die dat weer opheft.
Die eerste update heb ik dus van mijn PC verwijderd omdat de PC daarna alleen nog maar wilde hersterten door de resetknop in te drukken. Ik voel er niets voor die update er alsnog op te zetten!
Het is helaas niet anders. De storm is nog volop gaande en je kan even niet verwachten dat het buiten windstil is, hoe graag je dat ook zou willen.

Inderdaad een grote puinbak bij Microsoft.
Lekker bezig daar...
Niet Microsoft, de puinbak is bij Intel. De microcode is door Intel gemaakt en wordt alleen door Microsoft doorgegeven. Wijzigingen die Microsoft moest aanbrengen wegens die microcode-update kunnen op zich goed zijn gedaan, het is de microcode zelf die niet bleek te deugen.
30-01-2018, 09:32 door Anoniem
Door Linux4: We zijn niet anders gewend meer van Microsoft de laatste jaren: onvoldoende geteste software en updates. Amateurisme ten top. En dan maar zeggen dat Windows zo gebruikersvriendelijk is.

RedHat heeft hun update ook teruggedraaid: https://www.theregister.co.uk/2018/01/18/red_hat_spectre_firmware_update_woes/
30-01-2018, 09:57 door Anoniem
Door Eric-Jan H te A:
Door Anoniem: BIOS-updates van Intel? Microcode heeft niets met het BIOS te maken.
Deze opmerking heb ik vaker zien langskomen. Wanneer een OS wordt aangepast om kennelijk in samenwerking met deze microcode samen te werken om het bewuste lek te dichten, waarom zou dat dan niet voor het BIOS/UEFI gelden. Aan te nemen valt dat gelijktijdig met de microcode update ook het BIOS/UEFI zijn aangepast.
Interessant punt, maar daarmee zijn de BIOS-updates niet van Intel. In alle gecompileerde programmatuur, of dat nou een OS, applicatiesoftware of BIOS-code is, moeten de instructies kloppen met de CPU. De Intel-instructieset werkt niet op een ARM-processor. Als je een BIOS voor ARM met een Intel-CPU combineert werkt je systeem niet, maar dat zou mij niet tot de opvatting verleiden dat Intel-microcode iets met een BIOS voor ARM te maken heeft. Het is de programmacode die op de CPU gericht moet zijn, niet andersom, en ik vat "heeft te maken met" hier op als "moet rekening houden met".

Ik vraag me verder af of de BIOS/UEFI-code wel zo kritisch is in dit opzicht. MS-DOS leunde nog zwaar op BIOS-interrupts, moderne besturingssystemen nemen het nagenoeg volledig van de BIOS over als ze eenmaal gestart zijn. Dan is de BIOS/UEFI-code al niet meer kwetsbaar als user-mode code aan bod komt die ergens misbruik van zou kunnen maken, lijkt mij. En zelfs waar dat niet zo is zijn de INT-instructies waarmee BIOS-functies worden aangeroepen gepriviligeerd, alleen de kernel mag ze uitvoeren. En de kernel bestiert de page tables die bepalen wat zichtbaar is voor een proces.
30-01-2018, 10:09 door Anoniem
Door The FOSS: Inderdaad! En daarom heeft bv. Debian Linux een pas op de plaats gedaan en hoeven ze nu geen halfslachtig in elkaar gedraaide slechte updates terug te draaien.
In Debian unstable is de update wel doorgevoerd en weer teruggedraaid, in testing is hij nog steeds actief. En inderdaad, als je stable gebruikt (daar ben ik er een van) heb je het geluk dat het probleem duidelijk was voor je er last van kreeg.

Bedenk overigens wel dat dit alleen maar goed gaat bij de gratie van mensen die een brakke update wèl binnen krijgen en tegen de problemen aanlopen, anders waren die problemen niet bekend geweest. Je kan afgeven op de makers van systemen die sneller gepatcht worden maar je mag er ook blij mee zijn dat anderen de hete kastanjes voor je uit het vuur hebben gehaald. En bedenk ook dat het security team van Debian ook in stable updates snel doorvoert als die urgent zijn. Als er wèl misbruik van Spectre bekend was geweest had je kans gehad dat je het probleem in Debian stable ook had gehad.

De manier waarop ze werken bij Debian houdt de kans op ellende in de stable-release wel klein, maar ook daar is die kans niet nul.
30-01-2018, 23:21 door -karma4
Door Anoniem: Bedenk overigens wel dat dit alleen maar goed gaat bij de gratie van mensen die een brakke update wèl binnen krijgen en tegen de problemen aanlopen, anders waren die problemen niet bekend geweest. Je kan afgeven op de makers van systemen die sneller gepatcht worden maar je mag er ook blij mee zijn dat anderen de hete kastanjes voor je uit het vuur hebben gehaald.

In vervlogen tijden heette dat kanonnenvlees...

En bedenk ook dat het security team van Debian ook in stable updates snel doorvoert als die urgent zijn. Als er wèl misbruik van Spectre bekend was geweest had je kans gehad dat je het probleem in Debian stable ook had gehad. Door Anoniem: De manier waarop ze werken bij Debian houdt de kans op ellende in de stable-release wel klein, maar ook daar is die kans niet nul.

Tuurlijk. Ik chargeer een beetje, je kent me...
31-01-2018, 02:01 door Eric-Jan H te D
Door Anoniem: Ik vraag me verder af of de BIOS/UEFI-code wel zo kritisch is in dit opzicht. MS-DOS leunde nog zwaar op BIOS-interrupts, moderne besturingssystemen nemen het nagenoeg volledig van de BIOS over als ze eenmaal gestart zijn.

Met de introductie van UEFI verschuift een groot deel van de kritieke code juist van het OS hiernaar toe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.