Az elmúlt hetekben néhány sebezhetőség tartotta lázban a nemzetközi és hazai sajtót, valamint a biztonsági szakértőket. Ezek közül kiemelkedik a modern processzorokkal kapcsolatos hibák és azok kihasználása, amelyek a Spectre és Meltdown nevet (logókat, sőt weboldalt is) kapták, valamint az Intel Management Engine novemberben nyilvánosságra hozott hibái.

Frissítés:

Az első javítások még januárban jelentek meg, de az Intel mikrokód frissítés és a Windows frissítés is olyan hibákat okozott, mely után a gyártók újabb javításokat adtak ki. A második körben márciusban már olyan javítások érkeztek, amelyekkel a problémák nagy része orvosolható. Eközben a Linux kernel újabb verziója további védelmi réteget vont a 4.16-os verzióval a hibák köré.

A Spectre nevű sérülékenység két hibája többé-kevésbé minden modern processzort, a Meltdown pedig az Intel elmúlt 10 évben megjelent valamennyi processzorát és néhány erősebb ARM processzort érint – lehetővé téve adatszivárgást. Az Intel Management Engine sebezhetőségei pedig távoltól teszik elérhetővé a gépet. Mindegyik hibára született már több-kevesebb hibajavítás, ezek telepítése elengedhetetlen lesz a jövőben a számítógépek biztonságos üzemeltetéséhez.

A Spectre és Meltdown hibák a megfelelő operációs rendszeri javítások vagy új kernel telepítése telepítésével, a szoftverek frissített változatának telepítésével, valamint a számítógép alaplapi BIOS-ának frissítésével oldható meg.

Akit nem érdekelnek a technikai részletek, az alábbi fejezetet hagyja ki nyugodtan és olvassa el, hogyan lehet ellenőrizni és végső soron elhárítani a sérülékenységet a saját rendszereiben.

Spectre és Meltdown

Tehát az elmondható, hogy aki ma számítógépet használ annak számítógépe érintett a sérülékenységekben. A Spectre és Meltdown hibák lehetővé teszik, hogy a rosszindulatú kódot futtató felhasználó adataihoz illetéktelenek férjenek hozzá. Felhasználói programok elérjék a rendszermemória – elvben elérhetetlen részeit – olvassák a kernel és más futó programok által bizalmas információt is tároló memóriacímeit, vagy virtualizált környezetben a vendég gépek a host gépek vagy a többi vendég gép memória-területeit. Fontos megjegyezni, hogy jelenleg nincs szabadon olyan kód, amely ezeket a sebezhetőségeket hasznlná ki. Ennek ellenére érdemes a frissítéseket minél hamarabb telepíteni. Az 1-es és 2-es sérülékenységeket összefoglaló néven Spectre-nek keresztelték el a biztonsági kutatók, míg a 3-as sérülékenység Meltdown néven került nyilvánosságra:

• 1-es hiba: bounds check bypass (CVE-2017-5753) – Minden egyes bináris érintett lehet. Az adott alkalmazások és a kernel javításával, valamint új futtatható állományok, programkönyvtárak megfelelő újrafordításával javítható a hiba. Az új kód a LFENCE opkód megfelelő használatával tehető biztonságossá. A hibajavítás hatása a teljesítményre minimális.
• 2-es hiba: branch target injection (CVE-2017-5715) – Javítható alacsony (1-es megoldás) vagy közepes teljesítményveszteség (2-es megoldás)árán:
  • 1-es megoldás: CPU mikrókód frissítéssel és a frissítet fordítók használatával újrafordított alkalmazásokkal, programkönyvtárakkal és kernellel.
  • 2-es megoldás: Kizárólag szoftveres megoldással a Retpoline technikát használó frissített fordítók és ezzel újrafordított alkalmazásokkal, programkönyvtárakkal és kernellel.

• 3-as hiba: rogue data cache load (CVE-2017-5754) – Az érintett processzoroknál operációs rendszer javításával – ahogy arról már beszámoltunk: teljesítményvesztés mellett – elkerülhető:
  • Linuxnál: KPTI (Kernel Page Table Isolation) nevű patch-készlet foglalkozik a hiba korrigálásával;
  • a Microsoft a 2018. januári hibajavítással;
  • az Apple az iOS 11.2, a macOS 10.13.2, és a tvOS 11.2 kiadásokban javítja a hibát;
  • a Google az Android 2018. január 5-i biztonsági hibajavítással foltozza be a hibát.

A hibák abból a szempontból is nagyon kellemetlenek, hogy láthatólag a CPU-k még mikrókód frissítéssel sem minden javíthatók. Így a meglévő hibás mechanizmusokat szoftveres javításokkal kell körül bástyázni, amelynek hatására – a felhasználási területtől függően – akár jelentős 5-30%-os teljesítmény-csökkenés tapasztalható a Meltdown hiba esetében, főleg I/O intenzív alkalmazások esetén.

Teljesítmény tesztek:

• More Windows Server vs. Linux Benchmark Tests With Spectre/Meltdown Mitigations
• A Look At The Relative Spectre/Meltdown Mitigation Costs On Windows vs. Linux
• Do The Meltdown and Spectre Patches Affect PC Gaming Performance? 10 CPUs Tested

A hibák érintik a mobil eszközöket, számítógépeket, a szerveres és a felhős infrastruktúrákat is. Az információszivárgás megvalósulhat egy számítógépen belül, azaz:

• a rossz szándékú programok elérhetik más programok által memóriában tárolt adatokat;
• a virtuális gépen futó rossz szándékú programok elérheti más virtuális gépek és a hoszt memóriájában tárolt adatokat.

A megtalált hibák lényegében a mai modern processzorok sebességét hozó fő ütőkártyáinak jellegzetességeit használják ki:

• a spekulatív végrehajtást, azaz a CPU egy programban megszabott feltételteles elágazást programsorait, a döntéshez szükséges adat adott pillanatban lévő hiánya miatt – becslés alapján – előre elkezdi végrehajtani – ezt használja ki a Spectre;
• valamint azt a jellegzetességet, hogy a modern processzorok sebességre optimalizáltan, és nem sorrendben hajtják végre az utasításokat (out-of-order) – amelyet pedig a Meltdown nevű hiba használ ki.

A processzorgyártók érintettsége és reakciói

AMD: Az AMD szerint saját processzoraikat csak az egyes számú hiba érinti. A többi hibát felépítésbeni eltérés miatt nem érintett, vagy ahogy a bejelentése fogalmaz, a 2. esetben eddig AMD processzoron nem sikerült reprodukálni. A telesítménycsökkenést hozó Meltdown patch így a Linux kernel esetében is az AMD processzoroknon nem aktíválódik. Az első, már beolvasztott patch minden CPU-t hibásnak jelzett, de az AMD a LKML szerint beküldött egy olyan javítást, amely az AMD processzoroknál kikapcsolja ezt a további védelmet.

További információk

ARM: Az ARM processzorok esetében – azaz a mobilos, tabletes ökoszisztémák 99%-nál is van érintettség. Úgy tűnik az ARM eredeti processzordizánjai mellett, az egyedi processzor magokat tervező cégek (Qualcomm, Apple, Samsung, stb.) is érintettek. A ARM terveknek megfelelő magokat használó Cortex-R7, Cortex-R8, Cortex-A8, Cortex-A9, Cortex-A15, Cortex-A17, Cortex-A57, Cortex-A72, Cortex-A73, Cortex-A75 magokat érinti a Spectre (1-es és 2-es hiba), a Cortex-A15, Cortex-A57, Cortex-A72 magokat pedig a Meltdown sebezhetőség is.

További információk

Intel: Az Intel intel az első közleményeiben próbálta kisebbnek feltüntetni a hibát, de így utólag látszik, hogy a hiba leginkább őket érinti. A későbbiekben az alábbi közleményeket és információkat adták ki:

• Intel Issues Updates to Protect Systems from Security Exploits;
• Industry Testing Shows Recently Released Security Updates Not Impacting Performance in Real-World Deployments;
• Security Exploits and Intel Products;
• Facts about The New Security Research Findings and Intel Products
• Intel Analysis of Speculative Execution Side Channels
• Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method

A hibákban érintett Intel processzorok listája:

• Intel® Core™ i3 processzorok (45nm és 32nm)
• Intel® Core™ i5 processzorok (45nm és 32nm)
• Intel® Core™ i7 processzorok (45nm és 32nm)
• Intel® Core™ M processzorok család (45nm és 32nm)
• 2. generációs Intel® Core™ processzorok
• 3. generációs Intel® Core™ processzorok
• 4. generációs Intel® Core™ processzorok
• 5. generációs Intel® Core™ processzorok
• 6. generációs Intel® Core™ processzorok
• 7. generációs Intel® Core™ processzorok
• 8. generációs Intel® Core™ processzorok
• Intel® Core™ X-sorozat processzorok család for Intel® X99 platforms
• Intel® Core™ X-sorozat processzorok család for Intel® X299 platforms
• Intel® Xeon® processzorok 3400 sorozat
• Intel® Xeon® processzorok 3600 sorozat
• Intel® Xeon® processzorok 5500 sorozat
• Intel® Xeon® processzorok 5600 sorozat
• Intel® Xeon® processzorok 6500 sorozat
• Intel® Xeon® processzorok 7500 sorozat
• Intel® Xeon® processzorok E3 család
• Intel® Xeon® processzorok E3 v2 család
• Intel® Xeon® processzorok E3 v3 család
• Intel® Xeon® processzorok E3 v4 család
• Intel® Xeon® processzorok E3 v5 család
• Intel® Xeon® processzorok E3 v6 család
• Intel® Xeon® processzorok E5 család
• Intel® Xeon® processzorok E5 v2 család
• Intel® Xeon® processzorok E5 v3 család
• Intel® Xeon® processzorok E5 v4 család
• Intel® Xeon® processzorok E7 család
• Intel® Xeon® processzorok E7 v2 család
• Intel® Xeon® processzorok E7 v3 család
• Intel® Xeon® processzorok E7 v4 család
• Intel® Xeon® processzorok Scalable család
• Intel® Xeon Phi™ processzorok 3200, 5200, 7200 sorozat
• Intel Atom® processzorok C sorozat
• Intel Atom® processzorok E sorozat
• Intel Atom® processzorok A sorozat
• Intel Atom® processzorok x3 sorozat
• Intel Atom® processzorok Z sorozat
• Intel® Celeron® processzorok J sorozat
• Intel® Celeron® processzorok N sorozat
• Intel® Pentium® processzorok J sorozat
• Intel® Pentium® processzorok N sorozat

Ellenőrzés Linux-on

Linux alatt a Spectre és Meltdown hibák ellenőrizhetők ezzel az eszközzel.

Mindig ellenőrizzük a letöltött fájl sértetlenségét, és amennyiben a szükséges szakértelem a rendelkezésre áll, a nem a megbízható tárolóból származó elindítandó kódot is.

mkdir ~/spectremeltdown
cd ~/spectremeltdown
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
chmod +x ./spectre-meltdown-checker.sh
sudo ./spectre-meltdown-checker.sh

Hiba esetén az alábbi kimenet tapasztalható:

Spectre and Meltdown mitigation detection tool v0.21
 
Checking for vulnerabilities against live running kernel Linux 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017 x86_64
 
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 27 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)
 
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
 
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)
 
A false sense of security is worse than no security at all, see –disclaimer

Figyeljük meg, hogy mindhárom esetben a STATUS:  VULNERABLE. Ezt a hibás állapotot ideje kijavítani!

Ellenőrzés Windows-on

A Spectre és Meltdown hibák ellenőrzéséhez telepíteni kell PowerShell 5.x alatt a megfelelő modult. PowerShell ablakban futtassuk le a:

Install-Module SpeculationControl

Amennyiben a fenti parancsi hibát okoz, akkor telepíteni kell a PowerShell/Windows Management Framework 5.x verzióját. Jelneleg az 5.1-es verzió a legújabb, amely innen tölthető le Windows 7-8, Windows Server 2008R2-2012R2 verziókhoz. Windows 7 és 2008R2 esetén szükség van .NET Framework 4.5.2 telepítésére is. Szükség lehet a rendszer újraindítására is.

Ha előbb hiba történt, akkor futtassuk le ismét a következő parancsot a PowerShellben:

Install-Module SpeculationControl

Mentsuk el a jelenlenlegi futtatási jogosultságokat:

$SaveExecutionPolicy = Get-ExecutionPolicy

Set-ExecutionPolicy RemoteSigned -Scope Currentuser

Majd engedélyezzük a futtatást:

Set-ExecutionPolicy Bypass

És futtassuk le az ellenőrzést:

Import-Module SpeculationControl

Get-SpeculationControlSettings

Majd állítsuk vissza a jogosultságokat:

Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

A futtatási jogosultságok visszaállíthatók az alapértelmezett értékre ezzel a paranccsal is:

Set-ExecutionPolicy Restricted

Kezdetben vélhetően igen lehangoló eredményt fogunk kapni:

Semmi sincs javítva, ideje munkához látni!

Ellenőrzés Windowson egy másik programmal

A Spinrite merevlemez diagnosztizáló és javító programról ismert Gibson Research Corporation kiadta az InSpectre nevű ingyenesen letölthető és használható alkalmazását, amellyel egyszerűen megtekinthető a rendszer Meltdown és Spectre hibák általi érintettsége.

Javított állapotot jelző futtatás:

A legúabb verzióban az alkalmazásablak menüjéből részletes adatok is kinyerhetőek és vágólapra is másolhatóak. Van lehetőség a GUI nélküli futásra is, ahol az alkalmazás visszatérési értékei mutatják a rendszer jelenlegi állapotát. A „0” a teljesen védett rendszer; további értékek:

Decimal Value	Trouble Itemization
1	OS is not aware of the Meltdown vulnerability
2	OS is not aware of the Spectre vulnerability
4	The system is vulnerable to Meltdown
8	The system is vulnerable to Spectre
16	CPU does not support Spectre (microcode not updated)
32	CPU does not support low-overhead Meltdown protection
64	Meltdown protection disabled by registry setting
128	Spectre protection disabled by registry setting

A készítő szerint nem csak Windows alatt, hanem WINE alatt is megbízhatóan működik.

Ellenőrzés Windowson egy harmadik programmal

Alex Ionescu, a Windows kernel fejlesztői tapasztattal is bíró biztonsági szakértő is készített egy eszközt a Windows felhasználók számára a Spectre és Meltdown hibák felderítéséhez. A SpecuCheck nevű program szintén ingyenesen letölthető és használható. Csak a Spectre sebezhetőséggel kapcsolatos állapotokat méri fel, nem dokumentált rendszerhívások révén. A szerző saját érdeklődésből készítette, a Kernel állapot alapján történő jelentés készítésére. Ő maga is inkább, a fent részletezett, hivatalos PowerShell-es megaoldást javasolja. Legújabb verzióját innen tudjátok letölteni:

github.com/ionescu007/SpecuCheck/releases

Javított állapotot jelző futtatás:

Linux operációs rendszer frissítése

Linux esetén a frissítés kernel frissítés formájában érkezik. A különféle disztribúciók készítői már elérhetővé tették a frissítéseket. Nincs más dolgunk mint ezeket telepíteni, majd a rendszereket újraindítani. Amennyiben valami Live Patching rendszert használsz, akkor a telepítés hatása újraindítás után lép csak életbe.

Ubuntu: Az Ubuntu-t késztő Canincal már fissítette a kerneleket a támogatott rendszereknél.

A hibával foglalkozó bejelentése: insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

A javítások jelenlegi állapota: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

Csomag	Verzió	Kiadás
linux	4.4.0-108.131	Xenial 16.04
linux	4.13.0-25.29	Artful 17.10
linux-aws	4.4.0-1048.57	Xenial 16.04
linux-aws	4.4.0-1010.10	Trusty 14.04
linux-azure	4.13.0-1005.7	Xenial 16.04
linux-euclid	4.4.0-9022.23	Xenial 16.04
linux-gcp	4.13.0-1006.9	Xenial 16.04
linux-hwe-edge	4.13.0-25.29~16.04.1	Xenial 16.04
linux-kvm	4.4.0-1015.20	Xenial 16.04
linux-lts-xenial	4.4.0-108.131~14.04.1	Trusty 14.04
linux-oem	4.13.0-1015.16	Xenial 16.04

A kiadott Linux Kernel 4.4.0-108.131 verziója azonban hibát tartalmazott, így jelenleg a 4.4.0-109 verziót kelltelepíteni. Linux Mint 18.x alatt is ezt a verziót ajánlatos telepíteni. A Spectre sebezhetőség kernel oldali javítása a 4.4.0-111.134 (16.04) és a 3.13.0-140.189 (14.04) verziókkal jelenleg tesztelés alatt van és várhatóan még a héten megjelennek.

Az időközben megjelent Intel mikrókód frissítés a 2-es variáns kihasználását kiküszöbölendő.

2018. január 22-én megjelent Intel mikrókód frissítés újabb kiadása, amellyel a gépek indokolatlan újraindulását és stabilitási problémáit hivatott kijavítani.

Ubuntu kernel frissítés (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) a következő platformokra: amd64, ppc64el és s390x. Gyártói közlések: USN-3541-1 (Ubuntu 17.10), USN-3540-1 (Ubuntu 16.04 LTS), USN-3541-2 (Ubuntu 16.04 LTS (HWE)), USN-3542-1 (Ubuntu 14.04 LTS) és USN-3540-2 (Ubuntu 14.04 LTS (HWE)).

Február 21-én érkezett a kernel retpoline compiler fordított verziója a Spectre v2 hibát kiküszöbölendő: USN 3581-1 (Ubuntu 17.10), USN 3582-1 (Ubuntu 16.04 LTS), USN 3581-2 (Ubuntu 16.04 LTS (HWE)), USN 3582-2 (Ubuntu 14.04 LTS (HWE)).

Megejegyzések:

• CVE-2017-5753 (Spectre 1. variáns) az i386-os kernelben.
• i386, armhf és arm64 platforomokat nem érintik a javítások.
• Ar retpoline támogatás még nem jelent meg ezekben a kernelekben.

CentOS/Redhat: A CentOS és Redhat már minden szempontból optimális védelmet biztosít.a Spectre és Meltdown sebezhetőségekkel szemben.

A RedHat tájékoztatása:

• access.redhat.com/errata/RHSA-2018:0008
• access.redhat.com/security/vulnerabilities/speculativeexecution - Részletes információk a javításokról és érintettségekről.
• Performance Impacts
• access.redhat.com/security/cve/CVE-2017-5753
• access.redhat.com/security/cve/CVE-2017-5715
• access.redhat.com/security/cve/CVE-2017-5754
• access.redhat.com/solutions/3307791 - Options to address CVE-2017-5753 on XEN platforms

Érintett RedHat termékek:

• Red Hat Enterprise Linux 5
• Red Hat Enterprise Linux 6
• Red Hat Enterprise Linux 7
• Red Hat Atomic Host
• Red Hat Enterprise MRG 2
• Red Hat OpenShift Online v2
• Red Hat OpenShift Online v3
• Red Hat Virtualization (RHEV-H/RHV-H)
• Red Hat Enterprise Linux OpenStack Platform 6.0 (Juno)
• Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL7
• Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director for RHEL7
• Red Hat OpenStack Platform 8.0 (Liberty)
• Red Hat OpenStack Platform 8.0 (Liberty) director
• Red Hat OpenStack Platform 9.0 (Mitaka)
• Red Hat OpenStack Platform 9.0 (Mitaka) director
• Red Hat OpenStack Platform 10.0 (Newton)
• Red Hat OpenStack Platform 11.0 (Ocata)
• Red Hat OpenStack Platform 12.0 (Pike)

A Debian által kiadott tájékoztatások:

• security-tracker.debian.org/tracker/CVE-2017-5715
• security-tracker.debian.org/tracker/CVE-2017-5753
• security-tracker.debian.org/tracker/CVE-2017-5754

A frissítések egyelőre csak részben készültek el. A fejlesztők dolgoznak a hiba elhárításán.

Általános információk Linux kernel esetén

A Meltdown és Spectre sebezhetőségek a támogatással rendelkező kernelekben indítási paraméterek segítségével is megadhatók. Ehhez szerkeszteni kell az alapértelmezett grub fájlt például a következő parancs segítségével terminálban:

sudo pico /etc/default/grub

vagy grafikus felületen:

gksudo xed /etc/default/grub

A GRUB_CMDLINE_LINUX= kezdetű sort kell kiegészíteni az alábbi vastagon írt paraméterekkel. További beállítások a javasolt beállítások alatt (például: pti=1 ibrs=1 ibpb=1).

A megfelelő érték után szükség van a Grub frissítésére, a következő parancs végrehajtásával:

sudo update-grub

A Linux kernelben a Meltdown sebezhetőség védelmet a

• nopti  [X86-64] Disable kernel page table isolation

kernel paraméterrel a KPTI használata tiltható.

A Spectre sebezhetőséggel kapcsolatos védelmet tiltják a következő kernel paraméterek:

• noibrs - Indirect Branch Restricted Speculation
• noibpb - Indirect Branch Prediction Barriers

Fontos megjegyezni, hogy noha – a biztonsági szakértők által készített kódon kívül  – nincs ismert támadás azen hibák kihasználására. De vélhetően ez csak idő kérdése, s hamarosan lesznek olyan vadon elterjedő kódóok, amelyek személyes, értékes adatok után kutatnak ilyen módon.

Szükség esetén a védelmek időlegesen kikapcsolhatók, de ez általában nem ajánlott:

# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled

CentOS/RedHat 6 alatt szokség lehet a debug filerendszer csatolására:

mount -t debugfs nodev /sys/kernel/debug

A jelenleg hatályos beállításokat így ellenőrizhetjük:

# cat /sys/kernel/debug/x86/pti_enabled
# cat /sys/kernel/debug/x86/ibpb_enabled
# cat /sys/kernel/debug/x86/ibrs_enabled

Javasolt beállítások

Intel CPU:

• pti=1 ibrs=1 ibpb=1 → Javítja: #1 #2 #3;
• pti=1 ibrs=0 ibpb=0 → Javítja: #1 #3; régebbi Intel CPU-khoz, ahol nincs microcode frissítése).

AMD CPU:
Az AMD szerint saját processzoraikat csak az hárams számú (Meltdown) számú hiba nem érinti.

• pti=0 ibrs=0 ibpb=2 → Javítja: #1 #2; mikrokód frissítés esetén;
• pti=0 ibrs=2 ibpb=1 → Javítja: #1 #2; régebbi processzorokhoz, ahol az indirect branch prediction kikapcsolható mikrokód frissítés nélkül.

Windows operációs rendszer frissítése

A Windows 10 már automatikusan megkapta. További információ a frissítéssel kapcsolatban.

A Microsoft tájékoztatása a hibákról:

• Security Guidance
• Information regarding anti-virus software
• Azure Blog
• Windows (Client)
• Windows (Server)

A régebbi Windows-ok felhasználói kézzel is telepíthetik az új verziót, ah még a januári frissítést nem telepítették volna.

• KB4056898 for Windows 8.1 és Windows Server 2012 R2 Standard
• KB4056897 for Windows 7 SP1 és Windows Server 2008 R2 Service Pack 1

Közvetlenül a Windows Update catalog-ból elérhetők a telepítők Windows 8.1-hez és Windows 7 SP1-hez.

Azonban úgy tűnik ezek a frissítések problémát okoznak, így a gyártó visszavonta a Spectre 2-es variánsát még február elején egy frissítésben. Március 13.-i frissítésében újabb javítások érkeztek, érdemes ezeket telepíteni:

• Windows 8.1 és Windows Server 2012 R2 Standard

  • 2018-03 Preview of Monthly Rollup - KB4088881
  • 2018-03 Monthly Rollup - KB4088875
  • 2018-03 Security-only update - KB4088878
• Windows 7 Service Pack 1 és Windows Server 2008 R2 Service Pack 1
  •  2018-03 Preview of Monthly Rollup - KB4088881
  • 2018-03 Monthly Rollup - KB4088875
  • 2018-03 Security-only update - KB4088878
• Windows 10
  • Intel mikrókód frissítés

Töltsük le az operációs rendszernek megfelelő fájlt és futtassuk a telepítőt.

Az operációs rendszer sikeres frissítése és újraindítása után, már láthatók az egyes elemek részbeni javítása:

Ha nem menne a frissítés, vagy hibát tapasztalunk

Sajnos egy ilyen horderejű és sok területetet érintő frissítés számos hibalehetőséggel járhat. Meglátásom szerint fontos, hogy frissítsünk a Spectre és Meltdown hibáit csökkentő új szoftver és firmware verziókra. Mint az a cikk további részéből kiderül, nem csak operációs rendszer, CPU mikrokód, és ezzel együtt BIOS frissítés képében érkezik a javítás, hanem az egyes alkalmazásokhoz is érkezett vagy érkezik frissítés a közeljövőben. Így a számítógép, alaplap, CPU gyártók mellett, a böngésző és vírusvédelmi szoftverek gyártói is bocsátanak ki úgy verziót a Spectre és Meltdown hibákkal összefüggésben. Ezek mellett illesztőprogram fissítésekre és alkalmazás frissítésekre is érdemes ránézni és a legújabb verziókat telepíteni. Azonban a frissítést nem érdemes elsietni. Bár az – általam frissített gépek esetén – negatív hatásokat – a lassuláson kívül – nem tapasztaltam. A napi használatban nem volt különösképpen érezhető a lassulás teljesítmény igényes alkamazások futtatásakor sem. Így ez a lassulás 10% alatti tempóveszteséget jelenthet. A weben fellelhető tesztek tanulsága szerint I/O igényes feladatok vagy tesztprogramok esetén különböző mértékben látni lehetett az új frissítések hatásait - Linux és Windows alatt egyaránt.

Bár a napi munkában a teljesítmény nem szörnyű mértékben csökken, még a Meltdown sérülékenységgel terhelt Intel processzor esetében sem, azonban szép számmal akadnak inkompatibilitási problémák.

Vírusvédelmi termékek: A Microsoft viszonylag hamar jelezte, hogy a 2018. január 3-i frissítéssel nem kompatibilis jónéhány vírusellenes szoftver. A Microsoft házon belül fejlesztett Windows Defender Antivirus, System Center Endpoint Protection és Microsoft Security Essentials biztonsági termékei kompatibilisek a frissítésekkel. A többi vírusellenes termék gyártója is lépett az ügyben: az ESET, a McAfee, az AVG, a Symantec, a Sophos és a többi gyártó is adott ki frissítés, és támogatási cikket arról, hogy kompatibilis a vírusellenes terméke a Windows sérülékenység javításával.

A kompatibilitást a hibajavítás számára egy regisztrációs-adatbázis kulcs létrehozásával jelzi automatikusan a vírusvédelmi szoftver. Ha körültekintően megbizonyosodtunk arról, hogy a jelenleg használt antivírus szoftver megfelelő verziójú, és kompatibilis a Windows hibajavítással, akkor mi magunk is létrehozhatjuk a szükséges registry-bejegyzést a hibajavítás aktíválásához – ha ez nem történt volna meg automatikusan:

RegKey="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name ="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD"
Data="0x00000000" 

AMD-s problémák: Néhány régebbi AMD processzort tartalmazó (AMD Opteron, Athlon és AMD Turion X2 Ultra) számítógép tulajdonosa panaszkodott, hogy a Spectre és Meltdown Frissítés után számítógépükön használhatatlanná vált a Windows. A Microsoft ezért blokkolta a frissítés telepítését a régebbi AMD processzorral szerelt számítógépeken. A hiba javításához a Microsoft kiadta a KB4073290 javítást. A javítás letölthető a Microsoft Update Catalog-ból.

Az AMD tájékoztatása szerint a 2. változat hibajavíatásához szükséges mikrokód frissítést a Ryzen és EPYC processzorok esetén már átadta a partnereinek, akik BIOS-frissítés formában adják majd ki ezeket. A régebbi processzorok tulajdonosai is hamarosan kapnak majd frissítést, a gyártó ígérete szerint.

Intel-es problémák: Az Intel részéről Navin Shenoy blogbejegyzésben próbálta nyugtatni a kedélyeket. Írásában kitért rá, hogy az elmúlt 5 évben megjelent processzorok 90 százalékához már jelent meg javítás. Nagyjából tehát az érintett, elmúlt 10 éveben megjelent processzorok feléhez jött mikrókód frissítés ezeddig. Itt már az alaplap gyártóknál a labda, hogy BIOS frissítéseket készítsenek, majd a felhasználóknál, hogy ezek a frissítéseket valóban el is végezzék.

Teszteket is végeztek az Intelnél, ahol 2-20% közötti lassulást regisztráltak a különféle adatközponti feladatokkal kapcsolatos teljesítménytesztek során.

A legrosszabb hír a blog szerint az, hogy bár a telepített javítások mellett a sérülékenységeket a várt formában ki lehet küszöbölni, viszont a felhasználók számítógép instabilitást és váratlan újraindulásokról számoltak be Ivy Bridge-, Sandy Bridge, Skylake és Kaby Lake processzorok esetén. A gyártó sikeresen reprodukálta a problémát és újabb, jelenleg béta állapotú, mikrokód frissítést biztosít partnereinek a jövő hét folyamán. Így vélhetően újabb BIOS frissítésre is szükség lehet a közeljövőben.

Windows Server: Fontos megjegyezni, hogy a Windows Server verziókon a javítás telepítése után automatikusan letiltásra kerül a Meltdown-nal és Spectre-vel kapcsolatos hibák védelme. Engedélyezni ezeket a védelmeket a következő regisztrációs-adatbázis bejegyzésekkel lehet:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Amennyiben valamilyen okból szükség van a védelmek újboli letiltására, azt így tehetjük meg:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A változtatások érvényre juttatásához újra kell indítani a számítógépet.

BIOS frissítés

Eljutottunk a legkockázatosabb részhez, az alaplapi BIOS frissítéséhez. Ha még nem csináltunk BIOS frissítést, érdemes szakrtőre hagyni. A gyártók többsége már az újabb érintett gépekhez biztosítja a számítógép BIOS frissítését, amivel a hiba részben orvosolható. A képet árnyalja, hogy közben az új BIOS-okkal instabilitási problémát jeleztek a felhasználók. Ezért a gyártók nem javasolják ezeknek a BIOS-frissítéseknek a telepítését, hanem a majd megjelenő új verziót. Időközben megjelentek az új BIOS verziók. Az Intel jelenleg az 5 évnél fiatalabb processzorok 90%-ához adott ki mikrokód frissítést - saját bevallása szerint. A többi érintett géphez is szándékában áll frissítést kiadni.

Ennek megfelelően a gyártók az új BIOS-ok megérkezéséig nem javasolják az első BIOS-frissítés telepítését:

 

Dell is advising that all customers and partners should not deploy the BIOS update for the Spectre vulnerability at this time due to Intel’s advisory acknowledging reboot issues and unpredictable system behavior. We have removed impacted BIOS updates from our support pages and are working with Intel on a new BIOS update that will address the Spectre vulnerability.
 
We are working with Intel on a new BIOS update and will inform customers of next steps as soon as possible. Detailed instructions for Dell client and server customers can be found in the respective support articles linked below.

Frssítés:

Az új verziókat onnan ismerhetjük fel, hogy 2018 február 15-e után jelentek meg. Az új verziójú BIOS-ok megérkeztek, ezeket a dátum, a hibajavítás és az ellenőrzőösszeg ellenőrzése után lehet telepíteni.

A BIOS frissítése során figyeljünk arra, hogy a gépet ne kapcsoljuk ki, ne indítsuk újra és számítógép megbízható, szünetmentes tápellátással rendelkezzen. Ha laptopról van szó, az legyen feltöltve és a villamos hálózathoz csatlakoztatva.

A BIOS fájlokat a gyártó oldaláról kell (és ajánlatos) letölteni.

A folyamatban lévő frissítést nem szabad megszakítani!

Csak a megfelelő a számítógéphez késztett BIOS fájllal próbáljuk a BIOS frissítést elvégezni!

Mindig kövessük a gyártói utasítást, ami a BIOS frissítést menetét írja le.

• Az alaplapok egy része már a BIOS-ból/UEFI-ből biztosítja a frissítési lehetőséget, így ott BIOS-ból indítható az eljárás.
• A BIOS fájlokat a gyártó oldaláról kell letölteni. Manapság a legtöbb alaplapi BIOS-t lehet frissíteni Windows vagy Linux alól. Ezt vagy egy letölthető külön programmal lehet végrehajtani - megadva a letöltött BIOS képfájl-t, vagy maga a letöltött fájl futattható és tartalmazza a BIOS-t író Flash alkalmazást.
• A BIOS fájlokat a gyártó oldaláról kell letölteni. A letöltött fájlt egy USB pendrive-ra kell kimásolni, amely FAT16/32-es partícióval rendelkezik. A BIOS megfelelő indításával, pédául F2, DEL, F10, F12 billentyűk valamelyikének leütésével, majd az Update Flash BIOS nevű lehetőség választásával lehet a USB pendiveról betöltve telepíteni a BIOS frissítést.

Például egy Lenovo asztali gépnél a BIOS frissítés egy telepítőben érkezik. Amelyet lefuttatva egy mappába kerül a BIOS frissítő alkalmazás. A frissítést a "Flash.cmd" programmal indítható.

HP esetén is hasonló lehet az eljárás:

Nagyon fontos, hogy  gyártó oldalán mindenképpen nézzük meg, hogy a BIOS frissítés miképpen telepíthető.

Ellenőrzés Linux operációs rendszeren

Futtassuk le ismét a már futtatott programot:

sudo ./spectre-meltdown-checker.sh

Spectre and Meltdown mitigation detection tool v0.21
 
Checking for vulnerabilities against live running kernel Linux 3.10.0-693.11.6.el7.x86_64 #1 SMP Thu Jan 4 01:06:37 UTC 2018 x86_64
 
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:
YES  (112 opcodes found, which is >= 70)
> STATUS:  NOT VULNERABLE  (heuristic to be improved when official patches become available)
 
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
*   Kernel support for IBRS:  YES
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
 
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)
 
A false sense of security is worse than no security at all, see --disclaimer

Figyeljük meg, hogy az egyes esetben a STATUS:  NOT VULNERABLE, míg a kettes esetben továbbra is STATUS:  VULNERABLE. A kettes számú hiba elkerüléséhez további Linux kernel frissítés szükséges. Az ellenőrzött gép egy Linux Mint 18.3 volt, az elérhető legújabb kernellel.

Időközben maga az eszköz is fejlődött, illetve a Linux Kernelbe is bekerültek újabb javítások. Elvileg a legnagyobb biztonságot a 4.16-os verzió nyújt, de az egyes disztribúciók esetén a készítők visszaportolhatják a hibajavításokat. Az alábbi példában egy régebbi kernellel is egészen jó eredmények érhetőek el, a BIOS frissítést is elvégezve:

Spectre and Meltdown mitigation detection tool v0.36

Checking for vulnerabilities on current system
Kernel is Linux 4.13.0-37-generic #42~16.04.1-Ubuntu SMP Wed Mar 7 16:03:28 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i7-4700MQ CPU @ 2.40GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  YES
    * CPU indicates IBRS capability:  YES  (SPEC_CTRL feature bit)
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  YES
    * CPU indicates IBPB capability:  YES  (SPEC_CTRL feature bit)
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  YES
    * CPU indicates STIBP capability:  YES
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU microcode is known to cause stability problems:  NO  (model 60 stepping 3 ucode 0x24)
* CPU vulnerability to the three speculative execution attack variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  NO
* Kernel has the Red Hat/Ubuntu patch:  YES
> STATUS:  NOT VULNERABLE  (Mitigation: OSB (observable speculation barrier, Intel v6))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  YES
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  YES
* Mitigation 2
  * Kernel compiled with retpoline option:  YES
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline, IBPB (Intel v4))

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

Ellenőrzés Windows operációs rendszeren

Amennyiben az operácis rendszert és a BIOS-t is frissítettük a PowerShellben futassuk le a már ismert parancsot:

Get-SpeculationControlSettings

Most már minden elemnek zöldnek, azaz hibajavított állapotúnak kell lennie.

Ha bármi kérdésetek van, a témával kapcsolatban, tegyétek fel nyugodtan!

Érintett Andorid alapú rendszerek és javításuk

Az összes rendszer érintett. Javasolt felkeresni a gyártót a frissítések telepítéséhez. Ehhez rendelkezésre állhat a telefon beállításai közül a (Settings → System updates → Check for updates / Beállítások → Rendszerfrissítések → Frissítések keresése) rendszerfrissítést, vagy a gyártó által biztosított program segítségével a telefon számitógéphez csatlakoztatásával, majd frissítéssel. A hibajavítást tartalmazó verzió a 2018. január 5-nél újabb frissítési szint.

Érintett Apple termékek és javításuk

A biztonsági kérdésekről az Apple termékbiztonsági oldalán lehet olvasni bővebben. A Spectre és Meltdown hibával kapcsolatos tájékoztatás.

A javított verziók és elérhetőségük:

• Az iOS legújabb verziója a 11.2.2-es. Így frissíthető az iOS szoftver iPhone, iPad és iPod touch készüléken.
• A macOS legújabb verziója a 10.13.2-es. Így frissíthető a Mac szoftvere.
• A tvOS legújabb verziója a 11.2.1-es. Így frissíthető az Apple TV szoftvere.
• Safari 11.0.2 böngésző frissítés (11604.4.7.1.6 és 12604.4.7.1.6)

Mozilla Firefox frissítések

A Mozilla is közzétett egy blogbejegyzést, valamint egy frissítést az aktuális Firefox 57.0.4 verzióval. Ebben a kiadásba a performance.now() függvény percizitását 20µs-re csökkentette a fejlesztő és letiltotta a SharedArrayBuffer funkció használatát - amivel csökkenthető a böngészőből is kihasználható Spectre hatékonysága.

Google Chrome és Google Cloud Platform

A Google Cloud Platform - saíját bevallása szerint - az összes szolgáltatását frissítette. És a Chrome/Chromium-ban is megtették a szükséges lépéseket.

A böngésző használóinak javasolják a Webhely-izoláció (Site Isolation) bekapcsolását, annak ellenére, hogy bizonyos helyzetekben hibát is okozhatnak. Bekapcsolható a vállalati házirendeken keresztül vagy a chrome://flags beálltások révén.

Microsoft Internet Explorer és Edge

A Microsoft Edge és az Internet Explorer kapcsolatos javítások a már fentebb is részletezett KB4056890 javítások telepítésével érhető el.

Javaslatok a weboldal-üzemeltetők számára

A Chromium fejlesztői javasolnak továbbá pár lényeges változtatást a weboldalak beállításaiban, amivel csökkentehő a támadások sikerességének esélye:

• A SameSite és HTTPOnly süti beállítások használata.
• A MIME típusok helyes beállítása
• Érzékeny információt tartalmazó oldalakon a "X-Content-Type-Options: nosniff" beállítása

NVIDIA

Az NVIDIA ARM alapú rendszerei, illetve GPU-juk illesztőprogramjaik érintettek. A GPU-k önmagukban nem sebezhetőek ezzel a hibával, a gyártó vélekedése szerint: Illesztőprogram frissítések, érintett termékek: Termékbiztonság

Biztonsági hirdetmény azonosító	Cím	CVE-k	Kiadás dátuma	Frissítve
4610	Security Bulletin: NVIDIA GeForce Experience Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/09/2018	01/16/2018
4617	Security Bulletin: NVIDIA Jetson TX2 L4T Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	01/16/2018
4616	Security Bulletin: NVIDIA Jetson TX1, Jetson TK1, and Tegra K1 L4T Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/05/2018	01/16/2018
4614	Security Bulletin: NVIDIA Shield Tablet Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/04/2018	01/16/2018
4613	Security Bulletin: NVIDIA Shield TV Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/04/2018	01/16/2018
4611	Security Bulletin: NVIDIA Driver Security Updates for CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/04/2018	01/16/2018
4609	Security Notice: CPU Speculative Side Channel Vulnerabilities	Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754	01/03/2018	01/03/2018

 

Összesített gyártói tájékoztatások

• Intel: Security Advisory    /    Newsroom    /    Whitepaper
• ARM: Security Update
• AMD: Security Information
• RISC-V:  Blog
• NVIDIA: Security Bulletin   /   Product Security
• Microsoft: Security Guidance    /   Information regarding anti-virus software    /    Azure Blog    /   Windows (Client)    /   Windows (Server)
• Amazon: Security Bulletin
• Google: Project Zero Blog    /    Need to know
• Android: Security Bulletin
• Apple: Apple Support
• Lenovo: Security Advisory
• IBM: Blog
• Dell: Knowledge Base   /   Knowledge Base (Server)
• Hewlett Packard Enterprise: Vulnerability Alert
• HP Inc.: Security Bulletin
• Huawei: Security Notice
• Synology: Security Advisory
• Cisco: Security Advisory
• F5: Security Advisory
• Mozilla: Security Blog
• Red Hat: Vulnerability Response   /   Performance Impacts
• Debian: Security Tracker
• Ubuntu: Knowledge Base
• SUSE: Vulnerability Response
• Fedora: Kernel update
• Qubes: Announcement
• Fortinet: Advisory
• NetApp: Advisory
• LLVM: Spectre (Variant #2) Patch   /   Review __builtin_load_no_speculate   /   Review llvm.nospeculateload
• CERT: Vulnerability Note
• MITRE: CVE-2017-5715   /   CVE-2017-5753    /    CVE-2017-5754
• VMWare: Security Advisory   /   Blog
• Citrix: Security Bulletin   /   Security Bulletin (XenServer)
• Xen:  Security Advisory (XSA-254)   /   FAQ

Intel Management Engine hibajavítása

Az Intel Management Engine (IME) INTEL-SA-00086 hibája szintén érinti az összes utóbbi 10 évben megjelent Intel processzorral szerelt számítógépet, amennyiben az IME engedélyezve van. Ha az Intel Management Engine ki van kapcsolva, akkor is érdemes a frissítést elvégezni. Tapasztalatok szerint a frissítés vagy külön telepíthető firmware frissítésként, vagy a BIOS frissítés részeként érhető el.

Az Intel támogatási cikke a hibáról.

A megtalált hibák:

• CVE-2017-5705 - Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code
• CVE-2017-5706 - Multiple buffer overflows in kernel in Intel Server Platform Services Firmware 4.0 allow attacker with local access to the system to execute arbitrary code.
• CVE-2017-5707 - Multiple buffer overflows in kernel in Intel Trusted Execution Engine Firmware 3.0 allow attacker with local access to the system to execute arbitrary code.
• CVE-2017-5708 - Multiple privilege escalations in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow unauthorized process to access privileged content via unspecified vector.
• CVE-2017-5709 - Multiple privilege escalations in kernel in Intel Server Platform Services Firmware 4.0 allows unauthorized process to access privileged content via unspecified vector.
• CVE-2017-5710 - Multiple privilege escalations in kernel in Intel Trusted Execution Engine Firmware 3.0 allows unauthorized process to access privileged content via unspecified vector.
• CVE-2017-5711 - Multiple buffer overflows in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code with AMT execution privilege.
• CVE-2017-5712 - Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.

A CVE-2017-5712 hiba távolról is kihasználható, de csak hitelesítés után, magasabb jogosultságokat lehet elérni a sérülékenység által. Mivel azonban a legtöbb helyen alapértelmezett jelszót használnak az IME számára, így ez a hiba jó eséllyel kihasználható a rossz szándékú támadó számára. A többi hiba kihasználásához fizikai hozzáférés kell a géphez, állítja az Intel közleménye.

A hibákban érintett Intel processzorok listája:

• Intel® Core™ i3 processzorok (45nm és 32nm)
• Intel® Core™ i5 processzorok (45nm és 32nm)
• Intel® Core™ i7 processzorok (45nm és 32nm)
• Intel® Core™ M processzorok család (45nm és 32nm)
• 2. generációs Intel® Core™ processzorok
• 3. generációs Intel® Core™ processzorok
• 4. generációs Intel® Core™ processzorok
• 5. generációs Intel® Core™ processzorok
• 6. generációs Intel® Core™ processzorok
• 7. generációs Intel® Core™ processzorok
• 8. generációs Intel® Core™ processzorok
• Intel® Core™ X-sorozat processzorok család for Intel® X99 platforms
• Intel® Core™ X-sorozat processzorok család for Intel® X299 platforms
• Intel® Xeon® processzorok 3400 sorozat
• Intel® Xeon® processzorok 3600 sorozat
• Intel® Xeon® processzorok 5500 sorozat
• Intel® Xeon® processzorok 5600 sorozat
• Intel® Xeon® processzorok 6500 sorozat
• Intel® Xeon® processzorok 7500 sorozat
• Intel® Xeon® processzorok E3 család
• Intel® Xeon® processzorok E3 v2 család
• Intel® Xeon® processzorok E3 v3 család
• Intel® Xeon® processzorok E3 v4 család
• Intel® Xeon® processzorok E3 v5 család
• Intel® Xeon® processzorok E3 v6 család
• Intel® Xeon® processzorok E5 család
• Intel® Xeon® processzorok E5 v2 család
• Intel® Xeon® processzorok E5 v3 család
• Intel® Xeon® processzorok E5 v4 család
• Intel® Xeon® processzorok E7 család
• Intel® Xeon® processzorok E7 v2 család
• Intel® Xeon® processzorok E7 v3 család
• Intel® Xeon® processzorok E7 v4 család
• Intel® Xeon® processzorok Scalable család
• Intel® Xeon Phi™ processzorok 3200, 5200, 7200 sorozat
• Intel Atom® processzorok C sorozat
• Intel Atom® processzorok E sorozat
• Intel Atom® processzorok A sorozat
• Intel Atom® processzorok x3 sorozat
• Intel Atom® processzorok Z sorozat
• Intel® Celeron® processzorok J sorozat
• Intel® Celeron® processzorok N sorozat
• Intel® Pentium® processzorok J sorozat
• Intel® Pentium® processzorok N sorozat

Az Intel elérhetővé tett Linux és Windows alatt is futtatható teszteszközöket:

• Linux (MD5: c0f1aae6211302ed2c36c7655aa02642)
• Windows (7/8.1/10/Server 2012) (MD5: e8ce8e1556eab9548475b7e06692f748)

Mindig ellenőrizzük a letöltött fájl sértetlenségét, és amennyiben a szükséges szakértelem a rendelkezésre áll, a nem a megbízható tárolóból származó elindítandó kódot is.

Az ellenőrzéshez nem kell mást tenni, mint az operációs rendszernek megfelelő programokat letölteni, majd elindítani és a kapott eredményt kiértékelni.

Ellenőrzés Linux operációs rendszeren

Linux esetén indítsuk el a „SA00086_Linux” mappában található „intel_sa00086.py” programot rendszergazdaként, például:

sudo ./intel_sa00086.py

Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2018-01-17 07:04:20 GMT

*** Host Computer Information ***
Name: Godzilla
Manufacturer: Dell Inc.
Model: Latitude E6440
Processor Name: Intel(R) Core(TM) i7-4700MQ CPU @ 2.40GHz
OS Version: LinuxMint 18.3 sylvia (4.13.0-26-generic)



*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

A hiba a a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.” Ha nem rendszergazdai jogosultsággal futtatjuk a programot az alábbi kimenet lesz látható:

„Detection Error: This system may be vulnerable.”

Ilyenkor rendszergazdai jogosultsággal indítsuk el a programot.

Ellenőrzés Windows operációs rendszeren

Windows esetén indítsuk el a „SA00086_Windows\DiscoveryTool.GUI” mappából a „Intel-SA-00086-GUI.exe” programot.

Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:

A hiba ebben a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.”

A hiba elhárítása

Az Intel Managemenet Engine INTEL-SA-00086 ellenőrző eszközei kiírják a rendszerrel kapcsolatos legfontosabb információkat, így megtutdhatuk hogy a további frissítéseket melyik cégtől kell letölteni. A példában bemutatott eszközt a Lenovo készítette, így a Lenovo cég honlapját kell felkeresni a Intel Managemenet Engine INTEL-SA-00086 hibajavításokért.

• Acer: Támogatási információk
• ASRock: Támogatási információk
• ASUS: Támogatási információk
• Compulab: Támogatási információk
• Dell Client: Támogatási információk
• Dell Server: Támogatási információk
• Fujitsu: Támogatási információk
• Getac: Támogatási információk
• GIGABYTE: Támogatási információk
• HP Inc.: Támogatási információk
• HPE Servers: Támogatási információk
• Intel® NUC, Intel® Compute Stick, és Intel® Compute Card: Támogatási információk
• Intel® Servers: Támogatási információk
• Lenovo: Támogatási információk
• Microsoft Surface*: Támogatási információk 
• MSI: Támogatási információk
• NEC: Támogatási információk
• Oracle: Támogatási információk
• Panasonic: Támogatási információk
• Quanta/QCT: Támogatási információk
• Supermicro: Támogatási információk
• Toshiba: Támogatási információk
• Vaio: Támogatási információk
• Wiwynn: Támogatási információk

A gyártók többségénél a számítógép BIOS firssítésével, azaz a legfrisebb BIOS telepítésével megoldható a probléma. Viszont vannak olyan gyártók, amelyek külön firmware frissítést adtak ki az IME sebezhetőség javítására (például: Lenovo). A Lenovo estében ez egy Windowson futó frissítőeszköz, amelyet csak el kell indítani. A BIOS frissítése és a Management Engine frissítése során figyeljünk arra, hogy a gépet ne kapcsoljuk ki, ne indítsuk újra és számítógép megbízható, szünetmentes tápellátással rendelkezzen. Ha laptopról van szó, az legyen feltöltve és a villamos hálózathoz csatlakoztatva. Amennyiben Windows alatt használjuk a számítógépet, a teljes megoldáshoz mindenképpen frissítsuk a Management Engine windowsos illesztőprogramját (ME Driver vagy Intel Management Engine Components Installer is!

Példa a Managemenet Engine külön frissítésére egy Lenovo számítógép esetén:

A hiba javítva?

Ha sikeresen javítottuk a hibát, a számítógép újraindítása után futassuk le ismét az ellenőrző eszközöket:

Linux esetén az alábbi kimenetet jelzi a megfelelő állapotot:

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2018-01-17 07:04:28 GMT

*** Host Computer Information ***
Name: Godzilla
Manufacturer: Dell Inc.
Model: Latitude E6440
Processor Name: Intel(R) Core(TM) i7-4700MQ CPU @ 2.40GHz
OS Version: LinuxMint 18.3 sylvia (4.13.0-26-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 9.1.42.3002
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr 

Megfelelő az állapot, ha a Risk Assessment alatti sorban ez jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable.”

Windows esetén az alábbi kimenetet jelzi a megfelelő állapotot:

Megfelelő az állapot, ha a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable. It has been already patched.”

Ha sikerült a javítás, akkor a rendszer immár immunis az Intel Managemenet Engine INTEL-SA-00086hibákkal szemben. Ha bármi kérdésetek van, a témával kapcsolatban, tegyétek fel nyugodtan!

Beszélgetnél erről a hibáról, vagy a szabad szoftverekről? Látogasd meg a Magyar Szabad Szoftver Közösség Facebook csoportot!