Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt update uit om problematische Spectre-patch terug te draaien

Microsoft heeft in het weekend, buiten zijn gewoonlijke maandelijkse patchronde om, een update beschikbaar gemaakt waarmee gebruikers die herstartproblemen ondervinden na het installeren van de Spectre-patch, deze ongedaan kunnen maken.

Microsoft schrijft: "Terwijl Intel nieuwe microcode test, updatet en uitbrengt, stellen wij een update buiten de normale planning beschikbaar die de bescherming tegen de tweede variant van Spectre uitschakelt." Daarmee reageert Microsoft op de waarschuwing die Intel een week geleden publiceerde en waarmee het gebruikers vroeg de patch voor de Spectre-variant niet uit te voeren, omdat deze herstartproblemen veroorzaakt op bepaalde systemen. Het publiceerde een lijst met processors die problemen vertonen na de update.

Mensen met een systeem dat op die lijst voorkomt en die problemen ondervinden, kunnen de update volgens Microsoft uitvoeren. Deze heeft de aanduiding KB4078130 en geldt voor Windows 7 SP1, 8.1 en 10. Daardoor wordt de bescherming voor de tweede variant van Spectre, ook wel bekend als branch target injection, uitgeschakeld. Microsoft schrijft dat het niet op de hoogte is van aanvallen die misbruik maken van deze kwetsbaarheid. Het raadt getroffen gebruikers aan de patch opnieuw te installeren zodra Intel stabiele code heeft uitgebracht.

Microsoft biedt gebruikers bovendien de optie om de bescherming tegen deze variant handmatig uit te schakelen door een registeraanpassing door te voeren. Het bedrijf heeft handleidingen beschikbaar gesteld voor 'IT Pro's' en serverbeheerders. Microsoft is niet het enige bedrijf dat gebruikers na de waarschuwing van Intel de mogelijkheid geeft om de patches terug te draaien. Onder meer HPE en Dell deden hetzelfde.

The Wall Street Journal publiceerde in het weekend een artikel waarin de krant op basis van bronnen meldde dat Intel een aantal Chinese bedrijven, waaronder Lenovo, op de hoogte had gesteld van de Meltdown- en Spectre-lekken voordat het de Amerikaanse overheid had ingelicht. Ook sommige andere grote bedrijven waren op de hoogte van de lekken en konden na de publicatie ervan hun klanten informeren dat er al maatregelen genomen waren. Kleinere bedrijven zijn nog steeds bezig met het nemen van maatregelen, aldus de krant.

Door Sander van Voorst

Nieuwsredacteur

29-01-2018 • 10:07

151 Linkedin Google+

Reacties (151)

Wijzig sortering
Een aantal zaken vallen mij op omtrent deze hele Meltdown en Spectre chaos.
Het lijkt wel alsof Intel heel veel moeite heeft met het in kaart brengen van een oplossing. Ik begrijp dat er natuurlijk honderden dan wel niet duizenden varianten CPUs zijn die allemaal voorzien moeten worden van nieuwe microcode maar het begint wel een beetje knullig over te komen ondertussen.
Daarnaast vind ik het ook frappant dat de verantwoordelijkheid van een patch op verschillende plekken ligt. Het is toch eigenlijk vreemd dat Microsoft een patch moet maken omdat Intel "niet opschiet"?
Ik heb begrip voor het feit dat die microcode uiteindelijk in UEFI BIOS wordt geplaatst en wordt ge-hot-swapped op het moment van booten, maar gezien de chaos lijkt het mij beter dat 1 partij verantwoordelijkheid claimt en daar ook naar handelt. Ik krijg namelijk het gevoel dat er van "samenwerking" in dit probleem helemaal geen sprake is.
Linus Torvalds is ook aardig aan het ranten tegen intel:
http://lkml.iu.edu/hypermail/linux/kernel/1801.2/04628.html

Korte samenvatting: Intel is up to something and Linus is calling them out. They pushed a patch that has a heap of garbage code that does some stuff that people can’t work out why. Additionally their proposed fix for spectre is a cpu flag that has to be explicitly set by the kernel, instead of similar cases in the past where the cpu flag was set by default and used by the kernel to check if the kernel needed to implement additional security if the check failed. Linus hypothesises that the reason intel has gone down this path is because their fix for their chips cripples performance and they don’t want that to be the default state as it will make them look bad on benchmarks.
Dat is een wat naieve optie voor waar Intel mee bezig is. Als ik een duit in het zakje mag doen erover -- Intel is opzettelijk bezig de boel nog erger te maken dan het al is zodat ze over een halfjaar ofzo met een compleet nieuwe CPU generatie op de proppen kunnen komen die compleet immuun is voor zowel Meltdown als Spectre.

Zodat echt letterlijk iedereen zich geroepen zal voelen om een nieuwe Intel aan te schaffen. Oh ja, en vanwege de schaarste die dat op gaat leveren gaan die natuurlijk voor bijzonder grof geld over de toonbank.

Dat is waar Intel mee bezig is.

En ja, ik begrijp heel goed dat dat impliceert dat Intel er al veel langer van wist. Dat is namelijk ook zo.

Alu hoedje? Ik spreek mensen of een jaar graag nog eens, wanneer dit alles eindelijk compleet is afgerond en alles aan het licht is gekomen.

[Reactie gewijzigd door xbdcowonnq op 29 januari 2018 12:10]

aluhoedje inderdaad.
Wat ik van Spectre en Meltdown begrijp is dat praktisch alle processoren hier last van hebben.
Het maakt dus niet uit wat je nu hebt; als je echt van het lek af wil moet je inderdaad een nieuwe processor kopen omdat er gewoon geen beschikbaar is. Je zal inderdaad moeten wachten op de nieuwste processor van Intel die zodanig gebouwd is dat Spectre en Meltdown geen invloed hebben.
Wat zijn ze nu erger aan het maken? Patches die eea langzamer maken?
Ik ben geen kenner, maar wat ik begrijp van wat Spectre en Meltdown doen is misbruik maken van een trucje die de performance van processoren al een boost gaf. Het trucje met het geheugen (alvast de berekening uitvoeren voordat de daadwerkelijke call wordt gedaan) is dus eigenlijk al een extra fenomeen, een pluspunt, een bonus.
Spectre en Meltdown patchen zou dan betekenen dat de performance van processoren op het daadwerkelijke normale niveau terecht komt. Niet langzamer, maar normaal, maar we zijn door het geheugentrucje zodanig gewend geraakt aan de boost dat we nu boos worden op Intel dat de processoren trager uitkomen in de benchmarks.

En dat is dus eigenlijk helemaal niet eerlijk. Intel is gewoon zwaar de sjaak, en sowieso de meest gangbare processoren zijn de sjaak want ze gebruiken allemaal dit soort trucjes voor snellere performance.
Ook AMD voor zover ik weet.

Mogelijk baalt de NSA nu omdat een van hun backdoors is ontdekt, maar de processorbakkers hebben het maar op te lossen. Dit is natuurlijk negatieve publiciteit maar of ze er echt iets aan kunnen doen... ze doen het ook niet express natuurlijk.
Er wordt van ze verwacht dat ze snel met een oplossing komen, maar omdat het zodanig in de kern zit kunnen ze niet zomaar even een compleet nieuwe processor uit de hoge hoed toveren als het betekent dat ze echt terug naar de tekentafel moeten.
Maar de consument heeft geen geduld en wil niet twee jaar wachten op een processor nieuw ontworpen from scratch.
En dus moeten Intel en de andere bakkers wat pleisters plakken met patches etc. Dat deze misschien niet het gewenste resultaat hebben is vervelend, maar paniekvoetbal van de processorbakkers omdat de hete adem van kieskeurig, kassa, radar en weet ik veel wat voor consumentenpartijen allemaal een mening denken te hebben.

Mensen moeten gewoon geduld hebben en wachten op een nieuwe processor als ze echt wakker liggen van Spectre en Meltdown.

[Reactie gewijzigd door tyrunar op 29 januari 2018 13:37]

Wat ik van Spectre en Meltdown begrijp is dat praktisch alle processoren hier last van hebben.
Zeker niet.
-In-order processoren (oudere ARM-modellen) hebben hier per definitie geen last van.
-Meltdown: Alleen Intel en sommige nieuwere modellen van ARM hebben hier last van (AMD niet),
-Aanvallen op de 'Mappen naar BTB': Alleen Intel en oudere modellen van AMD zijn hier kwetsbaar voor, AMD Zen niet (Zie paragraaf Zen escapes again).
-Retpoline fix: Op Intel Broadwell en alle nieuwere processoren is deze fix nog steeds niet afdoende dus zelfs met retpoline blijft je processor kwetsbaar voor Branch Target Buffer Injection (zie paragraaf Using retpoline for sensitive branches... , op AMD werkt retpoline vziw wel afdoende.
ik zei niet voor niets 'praktisch alle processoren'. Ik wist dat het niet overal voor gold of maar gedeeltelijk.
Maar goed, ook AMD heeft die return-trampoline fix nodig. Dat het bij AMD wel afdoende werkt is mooi, maar het was blijkbaar wel nodig, en dus heeft ook AMD processoren die er last van hebben en dus een fix nodig hebben.

En dan nog is een retpoline fix natuurlijk een workaround... een infinite loop om het maar te omzeilen.
Kost zo'n loop niet ook enige rekenkracht (en dus vertraging/stroomverbruik)?

Mijns inziens, kort door de bocht, heeft dus ook AMD er last van en zullen ze zich niet oneindig achter de retpoline fix kunnen verschuilen.
Dat alle processoren hier last van zouden hebben sterkt mijn punt enkel en alleen maar. Want, dan opeens komt Intel, vanuit het niets, met het enige produkt dat er niet kwetsbaar voor is.

En stapt dus IEDEREEN voor IEDER produkt over op Intel. Et voila, Intel won the actual game.

Los daarvan is je laatste opmerking bijzonder tekenend. Gewoon geduld hebben en wachten op een nieuwe processor. Dus inderdaad, een nieuwe proc biedt de oplossing!
zo sta ik er in ja. We kunnen gaan smijten met allerlei lapmiddelen (de patches) maar een betere optie is gewoon te wachten tot de bakkers een processor hebben gemaakt, nieuw from scratch, die dit probleem niet heeft. En dan een nieuwe kopen.

De gemiddelde consument hoeft zich nauwelijks druk te maken om deze lekken. Het is verre van netjes en een groot probleem, maar het is niet alsof ineens alles onveilig is.
Nou, het probleem is anders nog een heel stuk ernstiger dan je zou denken. Letterlijk alles kan opeens onveilig zijn. Het probleem is dat de hele wereld online is en dat je nauwelijk nog om het gebruik van het web heen kan. Noem 1 ding dat je echt niet meer kan missen anno 2018 en het eerste zou toch echt 'browser' moeten zijn.

Je hebt die werkelijk voor alles nodig. Zie ook de banken, die nu vrolijk overgaan op het volledig afschaffen van TAN codes, etc. Dus binnenkort heeft iedereen voor iedere handeling een werkende Internetverbinding nodig, een werkende browser nodig en, als het even kan, een smartphone.

En welke aanvalsvector heb je dan vervolgens die beschikbaar is op echt letterlijk ieder systeem?

JavaScript.

JavaScript is het grote probleem bij Meltdown en Spectre. En wat is in het verleden al een prachtwijze gebleken om malafide Javascript uit te voeren? Ads.

Daar zit hem het grote gevaar van Meltdown en Spectre -- Javascript in het algemeen en dan wel via ads in het bijzonder.
Bijzonder off-topic. Maar goed, het is een interessant onderwerp. Vergeet niet dat alles binnen zijn context bestaat. Ik heb bijzonder weinig op met de extreem zwart/witte uitleg die de traditionele religies wensen te geven aan de ontwikkelingen in de wereld.

Ik bedoelde dus ook niet te suggereren dat ik keihard tegen de immer groeiende digitalisering van de wereld ben, noch ben ik er een voorstander van trouwens. Nee, ik bedoelde enkel er op te wijzen. Omdat Meltdown en Spectre met name in een sterk verbonden wereld een groot effect kunnen hebben.
het lijkt off-topic, omdat het ineens op de religieuze toer gaat, maar de gevaren van digitalisering zijn ermee te vergelijken. Je wordt compleet afhankelijk gemaakt van een bepaalde manier van leven. Geen contant geld meer, alles met de pas, alles centraal opgeslagen, geen voorraden (immers de supermarkt is om de hoek?) etc.

Je wordt zo erg kwetsbaar.
En wat betreft de religieuze link: dat fenoneem is de reden waarom er met elke technologische slimmigheid kritiek is. De streepjescode was gevaarlijk. De pinpas was gevaarlijk. Straks wordt het een chip. Geen contant geld meer. Alle internet of things apparaten die uiteindelijk alles voor je gaan bepalen.
En er hoeft maar 1 knop omgezet te worden en je hebt niets meer. Letterlijk en figuurlijk overgeleverd aan de 'goden'.
Dan heb ik een hoedje van lood. Ik zou me namelijk niet verbazen als deze lek er destijds zelfs bewust is ingezet als backdoor voor geheime dienst van VS dan wel Israël waar Intel volgens mij een ontwikkelafdeling heeft.
oh ja dat ongetwijfeld wel. De NSA is nu een van hun backdoors kwijt.
Maar ik denk niet dat Intel bewust het fix-proces gaat frustreren.
Ze moeten het wel doen maar het is niet op te lossen met een simpele pleister, iets wat de consument wel verwacht. Maar zo makkelijk gaat dat niet, dat gaat tijd kosten.
tja, de Sumeriërs hebben het wiel uitgevonden maar stonden niet bekend om sjoemelsoftware voor hun auto's :+

we hebben het natuurlijk over de moderne generatie processoren, waarschijnlijk ergens vanaf halverwege jaren 90 mbt gewone pc's. En niet de oude technologie van voor de dotcom-bubble.

[Reactie gewijzigd door tyrunar op 29 januari 2018 15:27]

tja, de Sumeriërs hebben het wiel uitgevonden maar stonden niet bekend om sjoemelsoftware voor hun auto's :+

we hebben het natuurlijk over de moderne generatie processoren, waarschijnlijk ergens vanaf halverwege jaren 90 mbt gewone pc's. En niet de oude technologie van voor de dotcom-bubble.
Ooh maar de moderne generatie heeft ook geen last van hoor.

http://www.amigaos.net/hardware/35/amigaone-x1000
Denk je, als dit echt zo is, dat mensen dan nog Intel willen en niet gewoon voor AMD gaan kiezen?
Hoeveel mensen, buiten jij en ik om, weten daadwerkelijk van dit probleem af?

Het is in het nieuws geweest maar 99 van de 100 mensen interesseert het geen bal. Zo lang als voor hun alles werkt zijn ze tevreden. Updates? Die zijn alleen maar irritant - kunnen we die ook ergens uitzetten want het opstarten duurt af en toe zo lang, of de computer wil maar niet uit....

Dit raakt de performance misschien wel maar de bottleneck zit nog steeds bij hardeschijven (ja er zijn nog altijd veel meer systemen met hardeschijven dan met SSD's)...
Dit raakt de performance misschien wel maar de bottleneck zit nog steeds bij hardeschijven (ja er zijn nog altijd veel meer systemen met hardeschijven dan met SSD's)...
En juist omdat SSDs zoveel sneller zijn zul je op een SSD systeem er veel meer van merken. Dit alles is ook al gebleken uit allerhande benchmarks op phoronix.com.

Als je een HDD hebt ben je sowieso gelimiteerd tot een bepaalde bottleneck, waar KPTI/retpoline/Intel's bagger weinig invloed op uitoefenen.
Ik spreek nog regelmatig mensen die nog steeds denken dat pentium het beste is. Dat hele core iX zegt ze niets en AMD hebben ze nog nooit van gehoord.
Ik kan het mis hebben, maar volgens mij is dat de doorsnee consument. En die zal die ook niet afvragen waarom de pc langzamer is, maar kijken of ze een nieuwe kunnen kopen.
Ach kom op, die consumenten die geen flauw idee hebben wat een Core is hebben ook geen enkele last van de performance degradatie van deze patches en die gaan óók geen upgrade kopen die erg veel centen kost. Allemaal lood om oud ijzer. De aantallen en de marges zitten hier ook niet voor Intel.

Ik kan je in elk geval zeggen dat in mijn gebruik, dat toch wel een tikje intensiever en veelzijdiger is dan doorsnee consument ik tot nu toe echt geen seconde verloren ben. Alles draait prima en zoals verwacht, en ja, ik heb zowel BIOS als Windows patches uitgevoerd, op meerdere systemen waarvan ik de prestaties goed ken.

[Reactie gewijzigd door Vayra op 29 januari 2018 14:19]

heeft AMD niet gewoon dezelfde problemen met Spectre en Meltdown als Intel?
Zo ja, dan moet je ook bij AMD wachten op een nieuwe processor.
Spectre wel, Meltdown niet. Spectre heeft niet echt een hoge impact op de performance.
ook bij spectre zijn de problemen voor AMD kleiner dan bij Intel.

De variant waar AMD wel vatbaar voor is, is heel erg moeilijk te misbruiken.
Niet als zou blijken dat enke en alleen Intel een produkt biedt dat volledig onkwetsbaar is voor alle varianten van beide kwetsbaarheden. Want dan kun je gewoon letterlijk niet om Intel heen.

Noem mij cynisch maar ik zie hier meer een bijzonder ranzige marketingtruk in dan, zoals anderen zouden willen suggereren, een dieper plan van allerhande geheime diensten. De wereld is soms een stuk simpeler en ranziger dan mensen denken.
Performance over security, altijd een goed idee. Kijk, ik ben de laatste die verstand heeft van CPU microcode noch kernels, ik ben namelijk slechts een software engineer. Als Linus, de beste Linus, hier gelijk heeft is het natuurlijk te krankzinnig voor woorden.
Nee, dit is realiteit. Intel weet heel goed dat ze hun leven te danken hebben aan hun single-threaded performance, en wat vendor lock-ins. Als er nu iets hun heilige basis, namelijk performance, dreigt aan te tasten, beschermen ze die ten koste van alles. De patches voor Meltdown komen nogal hard aan, en raken alleen Intel, wat ze hun positie in benchmarks (vooral iets als compile-benchmarks, belangrijk voor professionals) gaat kosten. AMD zat er al heel dicht op, dit kunnen ze nu niet hebben.

Zo lang er niet hard geschreeuwd wordt (harder dan nu, beide bugs krijgen al veel aandacht, ik ben de laatste die dat ontkent) zal Intel rustig vertellen benchmarks te draaien zonder de patches, en voor 'kritieke systemen' de patch wel toe te passen. Effectief dus je eigen schuld als je toch last hebt, want de patch is er (maar wordt niet gebruikt want performance, en wie boeit veiligheid nou?). Ik ben heel benieuwd hoe de komende (game-)reviews eruit gaan zien, en of de testers mans genoeg zijn om wél alles dicht te patchen.
Het lijkt wel alsof Intel heel veel moeite heeft met het in kaart brengen van een oplossing.
Het is moeilijk om een acceptabele oplossing te vinden. De eenvoudige oplossing is dat Intel nieuwe CPU's maakt en al onze computers vervangt, maar dat kan zelfs Intel niet betalen.
Dus proberen ze het nu maar in software te regelen, maar daarvoor moeten ze hele vervelende keuzes maken, die grote invloed op de prestaties van je processor kan hebben. Juist nu de concurrentie van AMD heel sterk is moet Intel dit soort fouten proberen te herstellen. Ik snap dat in paniek zijn en van ellende niet weten wat ze moeten.
Het is zo iets als een gat in de bezinetank van je auto op te lossen met software. Je kan minder tanken, of proberen je auto schuin op twee wielen te laten rijden, maar niemand gaat tevreden zijn met zo'n oplossing.
Er is een nog iets betere vergelijking met de autowereld mogelijk: Dieselgate. Met als verschil dat dit geen opzet lijkt te zijn. De manier van oplossen lijkt echter wél sprekend op mekaar: Door het patchen van de ecu wordt de inspuiting aangepast waardoor de performance daalt, ten gunste van de uitstoot (bij Intel: Beveiliging). En ook bij de Volkswagen diesels waren er een boel mensen die dus die update niet wilden hebben omdat die wat prestaties kost. Gevolg is dat in een aantal landen, ik weet niet of dat in NL ook zo is, de typegoedkeuring zo is aangepast dat die alleen geldig is mét die update. Dat kan betekenen dat je bijvoorbeeld niet verzekerd bent als je een ongeluk maakt, en je kunt bij controle sowieso een boete krijgen. Ik kan me zo voorstellen dat er met computers iets vergelijkbaars moet gebeuren, als je de boel niet up-to-date houdt geen compensatie van je bank als iemand je internetbankieren kraakt of iets dergelijks.
In het voorbeeld van Dieselgate is dat evident: de auto's die rondrijden zonder de update voldoen gewoon niet aan de wet...
Voor privaat gebruik kan ik mij niet voorstellen dat de overheid ons gaat verplichten te patchen. Ik neem wel aan dat bedrijven/overheden dit gaan doen in geval van kritische systemen (en dan nog nemen ze misschien het risico).
Juist vanwege die performance. Is dit misschien niet de reden geweest waarom Intel al een paar jaar ruime voorsprong heeft op AMD, omdat het -onverantwoord- de boel is gaan lopen afsnijden? Want het zal me niet verbazen dat Intel mogelijk al veel langer af wist van dit potentiele probleem. Gezien AMD wel een beetje beveiliging in zijn CPU's gebakken heeft die dit zo goed als voorkomt (Beide exploits zijn daar momenteel eigenlijk helemaal niet van toepassing). AMD heeft duidelijk rekening gehouden met deze manier van exploiten, het kan toch eigenlijk niet zijn dat Intel dit gemist heeft.

Ik snap dat de oplossing heel moeilijk is, maar als Intel weigert zijn verantwoordelijkheid te nemen... En alles wijst erop dat ze dat zo veel mogelijk ontwijken... vind ik wel dat we het Intel echt wel kwalijk kunnen nemen. Daar mogen -na onderzoek- denk ik echt wel serieuse gevolgen op staan.

Pech voor Intel dat ze nu op veel benchmarks onderuit gehaald zullen worden door de Ryzens en Threadrippers. De welverdiende karma die Intel al heel wat jaartjes tegoed heeft van AMD.
Tja, idealiter repareert men dit natuurlijk in de processor. Maar er zijn software workarounds beschikbaar, die blijkbaar sneller kunnen worden uitgerold.
In al geproduceerde cpu's kan dit niet gerepareerd worden. Pas bij nieuwe generaties cpu's ontworpen na het bekend worden van deze vunerabilities kan dit door de CPU fabrikanten "in silicon" opgelost worden.

Voor alle cpu's die nu vatbaar zijn zal een combinatie van Microcode en OS patches / Applicatie patches de enige wijze zijn om dit probleem "op te lossen".
De oorzaak van deze chaos is dat Meltdown en Spectre eigenlijk gelekt zijn door een wat onzorgvuldige programmeur die naar een public repo pushte, het was nog niet de bedoeling dat deze vulnerabilities naar buiten zouden komen waardoor er nu ineens gerushed wordt met allerlei patches.
Probleem was al bekend sinds juli, en ergens in maart-april kwamen de eerste speculaties over de mogelijkheid naar buiten. Als ze in een half jaar 0 patches regelen, en vrolijk een nieuwe lijn Skylakes uitrollen, denk ik dat de prioritisering ietsje scheef zit. Dat er dan na verdorie 6 maanden eindelijk iets gebeurt, en iedereen in paniek-modus gaat, is jammer. Soms moet je eerst vuurwerk hebben voordat iets op de agenda staat :/
Sterker nog, intel zegt dat de volgende generatie niet vatbaar zijn. We weten allemaal hoe lang het duurt om zo'n cpu te maken. Dit zaakje stinkt gewoon...
Aha, eindelijk iemand die het ook zo ziet. ;)
zoals hier besproken?https://www.youtube.com/watch?v=xySOFEMR9n4
Het wordt vooral allemaal heel erg gerushed omdat het gewoon een best groot probleem is, liever slordig en snel dan gebalanceerd en traag als het gaat om beveiligings updates, zolang het maar niet in de weg komt te staan van een uiteindelijk gladgestreken resultaat.
Ik mis hier toch nog steeds de relatie tussen de verschillende partijen... als Microsoft een fix uitbrengt is dit toch louter voor hun OS (en niet voor jou BIOS/CPU ?), dus dan moet die wat mij betreft gewoon werken ongeacht wat Intel doet.

Ik veronderstel ook dat ik van Intel nooit enige patch zal krijgen... dat is dan toch weer de verantwoordelijkheid van mijn BIOS leverancier (die het indirect van Intel moet krijgen) en ook deze gaan Microsoft dus nooit zelfs installeren ?

Net dit maakt het probleem zo gevoelig... het grootste deel van de consumenten zal nooit een BIOS update installeren (tenzij die via Windows Update gedistribueerd worden).
Ik mis hier toch nog steeds de relatie tussen de verschillende partijen... als Microsoft een fix uitbrengt is dit toch louter voor hun OS (en niet voor jou BIOS/CPU ?), dus dan moet die wat mij betreft gewoon werken ongeacht wat Intel doet.
Ja en nee. De eindgebruiker kijkt Microsoft (eindproduct) erop aan als het niet werkt. Kijk naar malware en buggy drivers (XP tijdperk). Windows krijgt een slechte naam. Als het OS er met een patch omheen geëngeneerd kan worden, dan kun je een optimale gebruikerservaring leveren. In theorie zouden mensen massaal kunnen gaan overstappen naar de concurrent, als de concurrent dit wel goed oplost (OSX, of Linux voor een kleinere groep). Welke CPU er onder de motorkap zit, interesseert niemand.

Zelfde met NS en geld-terug-bij-vertraging. Je kunt als klant altijd bij de NS aankloppen, zelfs als het probleem elders ligt (Prorail of derden).

Dus ja: ik vind het een heel goede gang van zaken.
Het is allemaal wat, een patch om een andere patch te un-patchen...

Het viel mij laatst op dat mijn PC zomaar om een tijdje reboot als ik even wat anders ga doen. Zou dat het kunnen zijn? Lijkt mij onwaarschijnlijk dat hij elke dag zomaar 2-3x gaat rebooten.
Het is niet echt een patch een andere patch te "un-patchen", het enige dat deze patch eigenlijk doet is een registry aanpassing die de eerdere fix voor Specte 2 tijdelijk uit zet, deze regsitry aanpassing is echter sinds 3 januari al gewoon beschikbaar in de MS KB's. De initiële patch van Microsoft zorgt an-sich ook niet voor stabiliteitsproblemen op systemen met Intel cpu's, echter gebruikers die zowel de MS patch van 3 januari als de teruggetrokken Intel Microcode update beide op het systeem hebben staan kunnen deze stabiliteitsproblemen ervaren in bepaalde gevallen. Heb je de bewuste Microcode niet op je systeem staan heb je deze patch ook in principe niet nodig (al zal deze uiteraard alsnog automatisch geïnstalleerd worden in de meeste gevallen).

[Reactie gewijzigd door Dennism op 29 januari 2018 10:44]

Check je eventlogs dan weet je het. Bij mij gebeurt het eigenlijk zelden dat hij herstart, sowieso zal hij het aan gaan kondigen & alleen buiten je "active hours" doen.
Tjonge, wat een rommeltje....
Dat is licht uitgedrukt.

Zelfs bij grote bedrijven is het chaos en paniek. De risico's worden van patchen VS niet patchen worden niet in kaart gebracht en door de media aandacht neemt de druk toe.

Het is natuurlijk ook een uitzonderlijke situatie en de vraag is of het beter had gekund. Het is wachten tot de eerste serieuze exploits live zijn en de echte paniek toeslaat.

Naar mijn mening is er echter helemaal geen rede voor paniek. Intel en Windows moeten natuurlijk zo hard mogelijk aan een patch werken.
Bedrijven moeten vervolgens de tijd nemen de patch goed te testen en terugval scenario's klaar hebben liggen.
Als consument kan je het beste nog even afwachten en geen speciale actie ondernemen. Zoals altijd: hou je virus scanner up-to-date.
Geen reden voor paniek? Misschien niet, maar een puinhoop is het toch zeker!
Doordat iedereen door elkaar heen aan het roepen is en het op zoveel verschillende manieren aangepakt moet worden is dit toch echt het grootste beveiligingslek van de het afgelopen decennium te noemen.

Wie hier heeft namelijk door dat voor volledige bescherming tegen Spectre variant 2 óók de BIOS geupdatet moet worden? En dat dat bij Windows systemen níet vanzelf gaat gebeuren? (maw. zelf een update van je moederbord moet downloaden en installeren). Bij Linux wordt in ieder geval de microcode nog geupdatet door het OS en bij Apple krijg je het automatisch met de updates mee. Maar bij Windows dus niet.

Voor alle kernel en driver programmeurs moet besef groeien dat je een speciale instructie moet gaan gebruiken om user data te bounds-checken. En dat voor elk stukje code dat dat doet. In elk OS met elke compiler op elk (virtueel) platform. En om het compleet te maken: als je die speciale instructie níet gebruikt krijg je geen enkele melding of fout maar gewoon een werkend programma!
Microcode updates kunnen ook door Windows gepushed worden heb ik ondertussen op meerdere plekken gelezen..
Vandaar dat op https://cloudblogs.micros...tions-on-windows-systems/ het volgende staat?:
Silicon microcode is distributed by the silicon vendor to the system OEM, which then decides to release it to customers. Some system OEMs use Windows Update to distribute such microcode, others use their own update systems
't probleem is dat het in het MSM nieuws is. Tuurlijk het is (vooral voor Intel) een vervelend lekje, maar voor ieder ander is het eigenlijk business as usual. Maar door alle aandacht moeten we ineens vanalles overhaast gaan doen zodat de managers en security officers lekker kunnen slapen.

Computer systemen zijn inherent onveilig en zo nu en dan worden ze iets minder onveilig door de patches.
Dat is licht uitgedrukt.

Zelfs bij grote bedrijven is het chaos en paniek. De risico's worden van patchen VS niet patchen worden niet in kaart gebracht en door de media aandacht neemt de druk toe.
Werkelijk? Ik vroeg me dat zelf ook af, wat de impact nu werkelijk is. Nu ken ik in Nederland niet zo heel veel ICT'ers die bij grote bedrijven werken, maar die ik ken tonen nu niet echt paniek en ook zeker geen haast met het doorvoeren van patches. Redenen zijn o.a. berichten als deze....

https://www.theverge.com/...spectre-cpu-fixes-comment

Men wacht liever op wat beters, misschien wel van 'betrouwbare' bedrijven zoals deze: http://www.zdnet.com/arti...so-you-should-all-use-it/

en als prive persoon...vraag eens om je heen bij familie en vrienden over Spectre en/of Meltdown - en de eerste reacties zijn in de trend van 'nieuwe James Bond film?'

Overigens vind ik dat de 'waarheidspers' er in Nederland (bewust) belabbert weinig aandacht aan besteed. Het gaat om de grootste security/backdoor crisis uit de geschiedenis van de microchip.

[/quote]

[Reactie gewijzigd door litebyte op 29 januari 2018 11:27]

Overigens vind ik dat de 'waarheidspers' er in Nederland (bewust) belabbert weinig aandacht aan besteed. Het gaat om de grootste security/backdoor crisis uit de geschiedenis van de microchip.
Wat is er qua sensatie op te pikken voor de massa? Er is een veiligheidslek en het veiligheidslek zal gepatched worden. Dat is niets nieuws.

"Ja, maar alle processors van de afgelopen 20 jaar hebben er last van!"

Al draai je niet up-to-date software op een nieuwe processor of een processor van 20 jaar oud dan is die software ook kwetsbaar. Qua dat is er eigenlijk niets nieuws.

Het merendeel van eindgebruikers zal nooit te maken hebben met de kwetsbaarheid omdat het lastig is om te misbruiken en er mitigerende maatregelen automatisch doorgevoerd worden in producten (zoals browsers). Tevens zullen ze geen last hebben van de patches op de lange termijn, omdat het verlies in prestaties minimaal is.

Ook bij bedrijven is de impact beperkt. Voor de prestaties van high performance systemen zal gekeken moeten worden of die nu nog de piekcapaciteit aankunnen. Verder heeft de patch geen haast. High performance systemen werken vaak maar met een enkel gebruikersaccount en een enkel stuk software. Al heb je toegang tot dat account of tot een admin account, dan ben je al binnen en heb je Meltdown/Spectre niet meer nodig.

Dit is een industriebreed probleem, maar voor de meeste individuele gevallen is het eigenlijk geen probleem. Het is dat Intel uitglijdt bij de eerste generatie patches bij bepaalde systemen, anders had er geen haan meer naar gekraaid.

[Reactie gewijzigd door The Zep Man op 29 januari 2018 12:05]

Nu ken ik in Nederland niet zo heel veel ICT'ers die bij grote bedrijven werken, maar die ik ken tonen nu niet echt paniek en ook zeker geen haast met het doorvoeren van patches. Redenen zijn o.a. berichten als deze....

Het grote probleem is gevritualiseerde omgevingen aangezien deze fouten de scheiding tussen VM's kan doorbreken. Ofwel één klant kan de data van een andere klant lezen. Bij Meltdown kan dat direct door kernel memory te lezen. Bij Spectre is het iets moeilijker, maar één van de twee varianten zou dit in principe ook kunnen.

Dus ja, geen 'paniek' als rondrennen als een kip, maar wel paniek als dat je niet rustig kunt afwachten en eens rondkijken en de patches volwassen laten worden. Dit kun je niet laten gaan, en je moet dus aan de slag met verse patches met potentiele neveneffecten.
[...]
Overigens vind ik dat de 'waarheidspers' er in Nederland (bewust) belabbert weinig aandacht aan besteed. Het gaat om de grootste security/backdoor crisis uit de geschiedenis van de microchip.
En what about Rowhammering? ...je hoort er minder over maar misschien nog wel een groter probleem omdat het nog meer platformen betreft. Het is dan ook geen fout in de CPU of software maar een geheugenprobleem.
Chaos en paniek valt best wel mee. Er is wel awareness. Probleem is dat iedereen zegt dat er nog geen exploits bestaan maar niemand die beseft dat mensen met een exploit dit liever geheim houden. Daarom is de noodzaak om te patchen er gewoonweg.

Het is het zelfde als iemand zegt, ik ken geen enkel geval van een inbraak door iemand die eenvoudig een Velux dakraam open kan krijgen door een productiefout bij het slot. Maar vertellen inbrekers je dat ze dat kunnen... Nee.

Gelukkig heeft het issue wel de aandacht alleen door de slechte patches (Linux, Windows) en ronduit slechte Microcode fixes van Intel die steeds maar weer worden teruggetrokken kijken de meeste bedrijven het eerst maar aan.

Zelf zit ik in een Task force voor een grote opdrachtgever om dit probleem te tackelen, maar kom zoveel haken en ogen tegen die niet matchen dat een blind patch beleid zomaar eens fout kan aflopen.

Kortom, er is awareness maar geen paniek. Bij Intel daar in tegen.....
Ben géén IT-er.
Blijkbaar is die update van MS hier ook gebeurt; krijg mijn PC niet meer opgestart.
Kon ook niet uitvinden waar dat aan lag, had wel van Spectre gelezen, maar is mij
een trapje of wat te hoog gegrepen.
Ten lange leste gisteravond Win7 opnieuw geinstalleerd, maar heel veel hardware wordt
nu niet door Win7 herkend, o.a. netwerkkaart, extra RS232-kaartje en zo meer...
Dit kan toch NIETS met die update van doen hebben neem ik aan??
Het klinkt inderdaad anders dan de Spectre update. Het issue wordt beschreven als sporadische reboots en een kleine performance verlies.
Bedankt voor info.
Pc opnieuw van Win7 voorzien.
Hangt er vanaf hoe je het bekijkt. Er waren honderden mensen op de hoogte van deze lekken en toch duurde het meer dan een halfjaar (tot slechts een paar weken voor de geplande publicatiedatum) voordat het uitlekte. Normaal gesproken zou je verwachten dat een geheim dat bij honderden mensen (verspreid over tientallen organisaties!) bekend is binnen een maand of zo toch echt wel uitgelekt is. Vanuit die insteek is het een klein wonder hoe goed het gegaan is.

En ja, proberen zo ongeveer elke computer (server, desktop, laptop en smartphone) op de planeet te patchen in een paar weken tijd gaat niet heel vlotjes. Maar wat wil je dan, dit ("elke CPU van de afgelopen twintig jaar is stuk") is niet bepaald een scenario dat vaak voorkomt of waar je je op voor kunt bereiden. Het wordt nog net een stapje erger doordat een patch puur in software tot een enorme performance hit leidt (wat pas geaccepteerd gaat worden zodra de eerste malware opduikt) en een patch deels in software, deels in hardware (met minimale performance hit) pas mogelijk is zodra die nieuwe hardware beschikbaar komt...

Het ziet er op het eerste gezicht nogal prutserig uit, maar als je even nadenkt over hoe ongelofelijk groot het probleem is, vind ik dat het op zich nog relatief soepel gaat.

[Reactie gewijzigd door robvanwijk op 29 januari 2018 11:14]

Het ziet er op het eerste gezicht nogal prutserig uit, maar als je even nadenkt over hoe ongelofelijk groot het probleem is, vind ik dat het op zich nog relatief soepel gaat.
Wat loopt er soepel dan? Er geen paniek, althans geen grote paniek bij afnemers en de eindgebruiker.
https://www.businessinsid.../?international=true&r=US

Er wordt door Intel gelogen en gedownplayed.
Soepel zou zijn - als er een oplossing is voor alle versies van de vulnerabilities (backdoors) het geen problemen (op wat voor manier dan ook) zou opleveren bij de eindgebruikers.

[Reactie gewijzigd door litebyte op 29 januari 2018 14:01]

Wat loopt er soepel dan?
Ik zeg niet voor niets "relatief soepel".

De "correcte" oplossing (alle chipfabrikanten ontwerpen nieuwe hardware en we vervangen alle CPUs ter wereld) is op geen enkele manier realistisch. Los van de tijd die het kost om te ontwikkelen, los van de absurde kosten, los van de apparaten waarbij de CPU niet vervangen kan worden, hebben we gewoon niet genoeg productiecapaciteit in de fabs om al die chips te maken.

Dus ja, gegeven de omvang van het probleem vind ik dat de aanpak op zich nog redelijk loopt.
Het staat helemaal niet vast dat dat met elkaar verband houdt. Ja, het is verdacht (dus als justitie de boel nader wil onderzoeken: prima), maar er zijn andere redelijke verklaringen (zoals wijzigingen in de Amerikaanse belastingwetgeving), dus mogelijk was het niet eens handel met voorkennis.
Er wordt door Intel gelogen en gedownplayed.
Waarover hebben ze gelogen dan?

Natuurlijk proberen ze het zoveel mogelijk te downplayen, wat verwacht je dan? Als ze roepen "oeps, helemaal onze schuld" dan staat binnen de kortste keren iedereen nieuwe CPUs te eisen (gratis uiteraard). Nogal wiedes dat ze daar geen zin in hebben; dat was een duur genoeg geintje met de FDIV-bug indertijd, alle chips van de afgelopen twintig (??) jaar vervangen is gewoon niet realistisch.
Soepel zou zijn - als er een oplossing is voor alle versies van de vulnerabilities (backdoors) het geen problemen (op wat voor manier dan ook) zou opleveren bij de eindgebruikers.
Ten eerste: het gaat hier NIET om een backdoor. Een lek is pas een backdoor als het opzettelijk is aangebracht. Er is niet genoeg aluminium in de wereld om dát hoedje te vouwen.

Wat je daar omschrijft is niet "soepel", maar "het achtste wereldwonder". Of, afhankelijk van hoe letterlijk je het neemt, "onmogelijk" zelfs een gratis monteur aan huis krijgen die de CPU voor je vervangt zullen sommige mensen nog steeds een "probleem" vinden, omdat ze ervoor thuis moeten blijven. Nagenoeg elke chip ter wereld is kwetsbaar en dat wordt in een aantal weken voor een heel groot deel opgelost. Met een heel klein beetje geluk, voordat er misbruik van is gemaakt. Dat lijkt mij het oordeel "soepel" best wel waard.

[Reactie gewijzigd door robvanwijk op 29 januari 2018 14:52]

Ik begrijp nog steeds niet heel goed waarom Microsoft hier zo snel een update op heeft losgelaten, het probleem bestaat toch al eventjes, waarom niet gewoon geduldig wachten op de updates van de CPU fabrikanten, die komen eraan en die gaan niet zorgen voor performance loss :-)
Dat is geheel waar, momenteel het zijn juist de Microcode updates van o.a. Intel die voor het grootste performance verlies zorgen. Al is dat verlies in het gros van de workloads nog steeds nihil. Zie bijv. https://www.youtube.com/watch?v=JbhKUjPRk5Q

Het is echter wel zeer goed mogelijk dat met toekomstige microcode updates het performance verlies verder verminderd kan worden omdat ze efficiëntere fixes ontwikkelen.
Mogelijk omdat de exploit nu simpelweg bekent is in de mainstream. Voordat het bekend was was de kans dat iemand iets met deze exploit deed immens klein, nu is het mogelijk een ander verhaal. Vandaar dat er mogelijk nu updates ge-rushed worden om mogelijke 'would be compromises' te snuffen voordat ze daadwerkelijk ingezet kunnen/konden worden. It's not pretty, maar dat is in zover ik het begrijp de reden.
Kunnen we straks ook een factuur naar Intel sturen voor de tijd dat mensen moeten besteden aan het (laten) herstellen van hun PC?

Er zijn vaker updates geweest (van virusscanners bijvoorbeeld) welke PC's onbruikbaar maakten. Vroeger was dat een leuke business voor een computerwinkel. Maar tegenwoordig weten mensen zelf ook veel sneller wat er aan de hand is. Ze pakken de tablet er even bij om te zien wat een foutmelding op de PC betekent of waardoor het is ontstaan.

Schade ontstaan door onzorgvuldigheid van een leverancier lijkt mij best verhaalbaar hier in Europa. Het probleem is waarschijnlijk een grote muur van advocaten voor het Amerikaanse bedrijf...
Hier heb je voor zover ik weet geen class-action rechtzaken dus zul je individueel naar de rechter moeten. Dat gaat natuurlijk niet gebeuren.
Keurig, deze update wordt dus heel snel geïnstalleerd bij mij, omdat ik WEL automatische updates aan hebt staan en nergens last van heeft. Het scheelt me behoorlijk wat werk doordat ik niet elke update hoeft te testen in een VM, want dat doet de MS community wel voor me:).
Als je automatiche updates hebt aan staan krijg je ze snel, en zijn ze wellicht nog niet goed getest door de community.
Microsoft brengt update uit om problematische Spectre-patch terug te draaien
De Spectre patch bleek dus nog niet goed getest te zijn.
Ik heb OOK automatische updates aan staan, maar mijn laatste update is van 10 januari. Een of andere Flash Player update. Daarvoor zijn updates van 18 december. Geen Spectre, geen Meltdown patches binnen gekomen bij mij. Waarom zou ik die ineens handmatig moeten doen? Ik vind het hele update beleid van MS maar een ontzettende puinhoop. Ene keer moet ik een grote Win10 feature update handmatig doen en de laatste Fall Creators update kwam daarna meteen door, terwijl de originele Creators Update al paar maanden beschikbaar zou moeten zijn voor 'iedereen'.
Ja ik heb het dan wel automatisch aanstaan(zowel privé als werkomgeving), maar bijv de creators updates heb ik soms "gepushd" met de assistant zowel in privé omgeving als werkomgeving, omdat deze niet altijd worden gevonden.

Alsnog lijkt het qua statistieken goed te gaan 3 van de 4 windows 10 pc draaien nu fall creators update met het updatebeleid van Microsoft.
Wat houden deze "opstartproblemen" juist in? Mijn broer vertelde mij dit weekend dat sinds kort zijn pc na het opstarten uitvalt en terug spontaan opstart, is dit hieraan te wijten? (Hierna is hij wel terug bruikbaar)
Hij heeft een Intel Core i5 4440 Boxed CPU.

[Reactie gewijzigd door PickMeh op 29 januari 2018 13:49]

Dit heb ik sinds vanmorgen na een automatische update.
En een vriendin ook.

PC blijft opnieuw opstarten, kan niet terug naar een herstel punt.
Hoopte hier een oplossing te vinden ;(
Zonder BIOS(/EUFI) update doen de Windows spectre patches niets, en komt het herstarten dus ook niet daar door.

Ik ken weinig computers die automatisch BIOS update krijgen. Maar het kán wel.
Maar je pc is wel nog bruikbaar na de herstart?
Nee mijn PC was vanochtend niet bruikbaar.
Ik kom niet eens op mijn desktop, en bij mijn vriendin die hetzelfde probleem sinds vanochtend heeft idem dito.

Maar nu ik je bericht zo lees lijkt het erop dat je broer wel op z'n desktop komt maar dan daarna uitvalt?
Ja, dat is toch wat hij mij verteld heeft. Dat zijn pc gewoon spontaan opnieuw opstart, geen BSOD, geen foutmelding, gewoon een reboot. Hij gaat later deze avond proberen de patch gelinkt in dit artikel te downloaden om te zien of dit helpt. Hij zei wel dat dit al een paar weken aan de hand is, kan natuurlijk ook aan iets anders liggen.
Jezus wat laat MS zich toch van zijn slechtste kant zien. Zo ontzettend rommelig is ongekend. Vandaag zus morgen zo.

Omdat ik ook deze opstartproblemen ervoer heb ik besloten om alle patches die ze in januari hebben uitgebracht links te laten liggen. Als je iemand bent die kiest voor beveiliging over performance zou ik zeggen maak in ieder geval een image voordat je de Windows Update draait. Merk je een performance hit of andere problemen op kun je makkelijk terug en een andere aanpak kiezen. Als je een klein beetje weet wat je doet dan is bv. je browser bewapenen en degelijke up-to-date anti-virus een prima alternatief naar mijn mening.
Als je dat Intel overzicht openklikt, zie je dat deze fix zinloos is voor (Ivy en) Sandy Bridge. Zie ik dat goed?
Want ik heb wel degelijk een reboot-probleem, dat die afsluit, maar niet meer opkomt, dus nee geen BSOD hier.

[Reactie gewijzigd door Sjah op 29 januari 2018 12:54]

hadden ze niet netjes een melding kunnen inbouwen dat het patchen gelukt is? Ik run de .exe, ik weet dat er een aanpassing gebeurd in registry maar krijg geen melding.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True