:

Szerző: Gálffy Csaba

2018. január 29. 17:08

Sürgős frissítés iktatja ki a Spectre-védelmet

Soron kívüli frissítéssel tiltja le a Spectre (2. variáns) sebezhetőségre kiadott javítást a Microsoft. A szoftverház szerint az Intel által kiadott mikrokód-frissítés komoly hibákat tartalmaz.

Visszavonja a Meltdown-Spectre sebezhetőségekre kiadott javítássorozat egyik tagját a Microsoft. Az Intel korábbi nyilvános nyilatkozataira reagálva a cég bejelentette, hogy soron kívüli gyorsjavítást ad ki a támogatott asztali operációs rendszerekhez és lekapcsolja a hibásnak ítélt foltozást.

A hétvégén kiadott minifrissítés a CVE-2017-5715 sebezhetőségre ("Branch target injection vulnerability") kiadott eredeti javítást kapcsolja le - és csak ezt az egyet. A Microsoft szerint ez elegendő ahhoz, hogy a véletlenszerű újraindulást és potenciális adatvesztést kiküszöbölje addig, amíg az Intel nem teszteli és adja ki a mikrokód-frissítés javított változatát. A visszavonás érinti a Windows 7 (SP1), Windows 8.1 és Windows 10-es rendszereket is. A szerveres rendszereknél a Microsoft már eredetileg is opcionálisan adta ki ezt a javítást, ott értelemszerűen azoknak a lépéseknek a visszavonásával lehet lekapcsolni a hibás frissítést.

A felhasználókat a Microsoft egyelőre azzal nyugtatja, hogy élesben még nem észlelt olyan támadást, amely az említett sebezhetőséget használná ki, így a védekezés lekapcsolása elvben nem okoz most problémát. A cég javasolja azért, hogy ha kijön a javított javítás, mindenki telepítse azt.

A Spectre és Meltdown két (pontosabban három) processzoros sebezhetőség kódneve, amely több gyártó több processzorcsaládját is érinti, de (már csak pusztán piaci részesedése miatt is) az Intel a legfontosabb szereplő. A cég első körben igyekezett bagatellizálni a kérdést, majd a javítások potenciálisan súlyos teljesítménycsökkentő hatását kente volna el, most pedig a CPU-oldali, mikrokód-szintű javítást rontotta el.

Valaki nagyon dühös

Az Intel még múlt héten ismerte be, hogy az első körben kiadott javítás komoly problémákat hordoz, instabillá, kiszámíthatatlanná teheti a rendszer működését és váratlan újraindulásokat produkál. Ezért a vállalat már akkor megkérte a PC-gyártókat, hogy a mikrokód-frissítést tartalmazó új BIOS/UEFI-verziókat vonják vissza ideiglenesen, amíg a megfelelően tesztelt kiadás meg nem érkezik.

brian

Brian Krzanich Intel-CEO

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Microsoft szövegében nem nehéz észlelni a passzív-agresszív hangnemet: a bejegyzés az Intel befektetői elemzői konferenciahívásának szövegére is hivatkozik. A szöveg alapján a két cég között egyáltalán nem súrlódásmentes a kooperáció, nincs utalás arra, hogy a két vállalat kommunikálna vagy együttműködne, a Microsoft csupán az Intel hivatalos bejelentéseire és saját tesztadataira hivatkozva vonja vissza most a frissítést.

A Linux kernel karbantartója, Linus Torvalds már kevésbé volt finom, ő egyszerűen hulladéknak nevezte a kerneloldali javítást és komoly problémái voltak mind az Intel hozzáállásával, mint a processzorok biztonságával kapcsolatban. Torvalds azt kifogásolta különösen, hogy az Intel új, különleges funkcióként állítaná be a kikapcsolható védelmet.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról