Як перевірити, чи ваш комп'ютер або телефон захищений від розплавлення і Spectre
Попередження: Навіть якщо ви встановили патчі з Windows Update, ваш комп'ютер може не бути повністю захищений від несправностей процесора Meltdown та Spectre. Ось як перевірити, чи ви повністю захищені, і що робити, якщо ви цього не зробили.
Щоб повністю захистити від Meltdown та Spectre, потрібно встановити оновлення UEFI або BIOS від виробника комп'ютера, а також різні виправлення програмного забезпечення. Ці оновлення UEFI містять новий мікрокод Intel або AMD, що додає додатковий захист від цих атак. На жаль, вони не розповсюджуються за допомогою служби Windows Update, якщо ви не використовуєте пристрій Microsoft Surface, тому їх потрібно завантажити з веб-сайту виробника та встановити вручну.
Оновлення: 22 січня корпорація Intel оголосила про те, що користувачі повинні припинити розгортання початкових оновлень прошивки UEFI через «перезавантаження, що перевищує очікуване, та інші непередбачувані поведінки системи». Корпорація Intel сказала, що потрібно чекати остаточного патча UEFI прошивки. Станом на 20 лютого, Intel випустила стабільні оновлення мікрокоду для Skylake, Kaby Lake і Coffee Lake - це 6-а, 7-а і 8-а покоління платформ Intel Core. Виробники ПК повинні розпочати розгортання нових оновлення мікропрограм UEFI.
Якщо ви встановили оновлення прошивки UEFI від свого виробника, ви можете завантажити патч від корпорації Майкрософт, щоб знову зробити ваш комп'ютер стабільним. Доступний як KB4078130, цей патч вимикає захист від Spectre Variant 2 у Windows, що запобігає виникненню помилок у UEFI. Вам потрібно тільки встановити цей патч, якщо ви встановили оновлення UEFI від вашого виробника, і він не пропонується автоматично через Windows Update. Корпорація Майкрософт знову ввімкне цей захист у майбутньому, коли Intel випустить стабільні оновлення мікрокоду.
Простий метод (Windows): Завантажити інструмент InSpectre
Щоб перевірити, чи ви повністю захищені, завантажте інструмент InSpectre корпорації Gibson Research і запустіть його. Це простий у використанні графічний інструмент, який покаже вам цю інформацію без турбот про виконання команд PowerShell і декодування технічного виводу.
Після запуску цього інструменту ви побачите кілька важливих деталей:
- Вразливі до розплавлення: Якщо це говорить "ТАК!", Потрібно встановити виправлення з Windows Update, щоб захистити ваш комп'ютер від атак та розваг..
- Уразливий для Spectre: Якщо це говорить "YES!", Потрібно встановити прошивку UEFI або оновлення BIOS від виробника комп'ютера, щоб захистити ваш комп'ютер від деяких атак Spectre..
- Продуктивність: Якщо це говорить що-небудь, крім "GOOD", у вас є старий комп'ютер, який не має апаратного забезпечення, що робить латки успішними. Ви, ймовірно, побачите помітне уповільнення, повідомляє Microsoft. Якщо ви використовуєте Windows 7 або 8, деякі з них можна пришвидшити шляхом оновлення до Windows 10, але для максимальної продуктивності вам знадобиться нове обладнання.
Ви можете побачити пояснювальне для людини те, що саме відбувається з вашим ПК, прокручуючи вниз. Наприклад, на скріншотах тут встановлено патч операційної системи Windows, а не оновлення прошивки UEFI або BIOS на цьому комп'ютері. Вона захищена від Meltdown, але потребує оновлення UEFI або BIOS (апаратне забезпечення) для повного захисту від Spectre.
Метод командного рядка (Windows): Запустіть сценарій PowerShell Microsoft
Корпорація Майкрософт зробила доступним сценарій PowerShell, який швидко повідомить, чи захищений ваш комп'ютер. Запуск програми вимагає командного рядка, але процес легко виконувати. На щастя, Gibson Research Corporation тепер надає графічну утиліту Microsoft, тому вам більше не доведеться робити цього.
Якщо ви використовуєте Windows 7, спочатку потрібно завантажити програмне забезпечення Windows Management Framework 5.0, яке встановить у вашій системі нову версію PowerShell. Цей сценарій не працюватиме належним чином без нього. Якщо ви використовуєте Windows 10, у вас вже встановлена остання версія PowerShell.
У Windows 10 клацніть правою кнопкою миші кнопку Пуск і виберіть "Windows PowerShell (Admin)". У Windows 7 або 8.1 знайдіть у меню "Пуск" пункт "PowerShell", клацніть правою кнопкою миші ярлик "Windows PowerShell" і виберіть "Запуск від імені адміністратора".
Введіть у команді PowerShell таку команду та натисніть клавішу Enter, щоб встановити сценарій у вашій системі
Установіть модуль SpeculationControl
Якщо буде запропоновано встановити постачальник NuGet, введіть “y” і натисніть Enter. Можна також знову ввести "y" і натиснути Enter, щоб довіряти сховищу програмного забезпечення.
Стандартна політика виконання не дозволить запустити цей сценарій. Отже, щоб запустити скрипт, спочатку ви збережете поточні налаштування, щоб їх можна було відновити пізніше. Тоді ви зміните політику виконання, щоб скрипт міг працювати. Для цього виконайте наступні дві команди:
$ SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Введіть “y” і натисніть Enter, коли вас попросять підтвердити.
Потім, щоб виконати сценарій, виконайте такі команди:
Імпорт-модуль SpeculationControl
Get-SpeculationControlSettings
Ви побачите інформацію про те, чи має ваш комп'ютер відповідну апаратну підтримку. Зокрема, ви хочете шукати дві речі:
- "Підтримка ОС Windows для зменшення ін'єкції галузевої цілі" стосується оновлення програмного забезпечення від Microsoft. Ви хочете, щоб це було присутнім для захисту від атак Meltdown і Spectre.
- «Апаратна підтримка для зменшення ін'єкції гілок цільового призначення» стосується оновлення прошивки / BIOS UEFI, яке вам потрібно від виробника комп'ютера. Ви хочете, щоб це було присутнім для захисту від певних атак Spectre.
- "Устаткування вимагає затінення ядра VA" буде показано як "True" на апаратному забезпеченні Intel, яке є вразливим до Meltdown, і "False" на апаратному забезпеченні AMD, яке не є вразливим до Meltdown. Навіть якщо у вас є апаратне забезпечення Intel, ви захищені, доки встановлено патч операційної системи, і “підтримка ОС Windows для ядра VA тіні ввімкнена” читається “True”.
Таким чином, на скріншоті нижче, команда говорить мені, що у мене є виправлення Windows, але не оновлення UEFI / BIOS.
Ця команда також показує, чи має ваш процесор апаратну функцію оптимізації продуктивності PCID, що робить виправлення більш швидким. У Intel Haswell і пізніше процесори мають таку функцію, в той час як старі процесори Intel не мають цієї апаратної підтримки і можуть побачити більше результатів після встановлення цих патчів.
Щоб повернути політику виконання до початкових налаштувань, виконайте таку команду:
Set-ExecutionPolicy $ SaveExecutionPolicy -Scope Currentuser
Введіть “y” і натисніть Enter, коли з'явиться запит на підтвердження.
Як отримати виправлення Windows Update для вашого ПК
Якщо "підтримка ОС Windows для зниження ін'єкції гілок цільового призначення" є помилковою, це означає, що ваш комп'ютер ще не встановив оновлення операційної системи, яке захищає від цих атак.
Щоб отримати виправлення для Windows 10, перейдіть до Налаштування> Оновлення та безпека> Windows Update і натисніть "Перевірити наявність оновлень", щоб встановити будь-які доступні оновлення. У Windows 7 перейдіть до Панелі керування> Система та безпека> Windows Update і натисніть "Перевірити наявність оновлень".
Якщо оновлення не знайдено, проблему може викликати антивірусне програмне забезпечення, оскільки Windows не встановлюватиме його, якщо антивірусне програмне забезпечення ще не сумісне. Зверніться до постачальника антивірусного програмного забезпечення та попросіть отримати додаткову інформацію про те, коли їх програмне забезпечення буде сумісним з виправленнями Meltdown та Spectre у Windows. Ця електронна таблиця показує, яке антивірусне програмне забезпечення оновлено на сумісність з виправленням.
Інші пристрої: iOS, Android, Mac і Linux
Тепер доступні патчі для захисту від Meltdown та Spectre на найрізноманітніших пристроях. Незрозуміло, чи впливають ігрові консолі, потокові коробки та інші спеціалізовані пристрої, але ми знаємо, що Xbox One і Raspberry Pi не є. Як завжди, ми рекомендуємо підтримувати оновлення безпеки на всіх пристроях. Нижче описано, як перевірити, чи маєте ви вже патч для інших популярних операційних систем:
- iPhone та iPad: Перейдіть у меню Параметри> Загальні> Оновлення програмного забезпечення, щоб перевірити поточну версію встановленої системи iOS. Якщо у вас є принаймні IOS 11.2, ви захищені від Meltdown і Spectre. Якщо ні, встановіть будь-які доступні оновлення, які з'являться на цьому екрані.
- Пристрої Android: Перейдіть в меню Налаштування> Про телефон або про планшет і перегляньте поле "рівень захисту для Android". Якщо ви маєте, щонайменше, патч безпеки 5 січня 2018 року, ви захищені. Якщо ви цього не зробите, торкніться опції "Оновлення системи" на цьому екрані, щоб перевірити наявність оновлень і встановити їх. Не всі пристрої будуть оновлені, тому зверніться до виробника або перевірте їхні документи підтримки для отримання додаткової інформації про те, коли і чи будуть доступні виправлення для вашого пристрою.
- Маки: Натисніть меню Apple у верхній частині екрана та виберіть "Про цей Mac", щоб дізнатися, яку версію операційної системи ви встановили. Якщо у вас є хоча б macOS 10.13.2, ви захищені. Якщо ні, запустіть App Store і встановіть усі доступні оновлення.
- Chromebook: Цей документ підтримки Google показує, які пристрої Chromebook є вразливими до Meltdown і чи були вони виправлені. Пристрій Chrome OS завжди перевіряє наявність оновлень, але ви можете вручну почати оновлення за допомогою пункту меню Налаштування> Про ОС Chrome> Перевірити та застосувати оновлення.
- Системи Linux: Ви можете запустити цей сценарій, щоб перевірити, чи ви захищені від Meltdown і Spectre. Виконайте наступні команди на терміналі Linux, щоб завантажити та запустити сценарій:
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
sudo sh spectre-meltdown-checker.sh
Розробники ядра Linux все ще працюють над виправленнями, які повністю захистять Spectre. Зверніться до дистрибутива Linux для отримання додаткової інформації про доступність виправлень.
Проте користувачам Windows і Linux потрібно буде зробити ще один крок, щоб захистити свої пристрої.
Windows і Linux: Як отримати оновлення UEFI / BIOS для вашого ПК
Якщо “підтримка апаратного забезпечення для зниження ін'єкції цільової гілки” є помилковою, потрібно отримати оновлення прошивки UEFI або оновлення BIOS від виробника комп'ютера. Отже, якщо у вас є комп'ютер Dell, наприклад, відвідайте сторінку підтримки Dell для вашої моделі. Якщо у вас є комп'ютер Lenovo, відвідайте веб-сайт Lenovo і знайдіть модель. Якщо ви побудували свій власний комп'ютер, перегляньте веб-сайт виробника материнської плати для оновлення.
Після того, як ви знайшли сторінку підтримки для свого ПК, перейдіть до розділу "Завантаження драйверів" і знайдіть нові версії прошивки UEFI або BIOS. Якщо у вашому комп'ютері є процесор Intel, вам знадобиться оновлення мікропрограми, що містить мікрокод «грудень / січень 2018 року» від Intel. Але навіть системи з процесором AMD потребують оновлення. Якщо ви не бачите жодного, переконайтеся, що в майбутньому оновиться ваш комп'ютер, якщо він ще не доступний. Виробникам необхідно видати окреме оновлення для кожної випущеної ними комп'ютерної моделі, тому ці оновлення можуть тривати певний час.
Завантаживши оновлення, дотримуйтесь інструкцій у програмі readme, щоб встановити його. Зазвичай це передбачає перенесення файлу оновлення на флеш-пам'ять, а потім запуск процесу оновлення з інтерфейсу UEFI або BIOS, але процес змінюється від ПК до ПК.
Корпорація Intel заявила, що випустить оновлення для 90% процесорів, випущених за останні п'ять років, до 12 січня 2018 року. AMD вже випускає оновлення. Але, після того, як Intel і AMD випустили ці оновлення мікрокоду процесорів, виробники все одно повинні їх упакувати і поширити. Незрозуміло, що станеться зі старими процесорами.
Після інсталяції оновлення можна двічі перевірити та перевірити, чи увімкнено виправлення, знову запустивши встановлений сценарій. Вона повинна показувати "Підтримка обладнання для зменшення впливу цільової галузі" як "істинний".
Вам також потрібно виправити веб-переглядач (і, можливо, інші програми)
Оновлення Windows і оновлення BIOS не єдині потрібні вам оновлення. Наприклад, вам потрібно буде виправити веб-браузер. Якщо ви використовуєте Microsoft Edge або Internet Explorer, виправлення входить до складу Windows Update. Для Google Chrome і Mozilla Firefox потрібно переконатися, що у вас є остання версія - ці веб-переглядачі автоматично оновлюються, якщо ви не змінили це, тому більшості користувачів не доведеться робити багато чого. Початкові виправлення доступні в Firefox 57.0.4, який вже був випущений. Google Chrome отримуватиме виправлення, починаючи з Chrome 64, який планується випустити 23 січня 2018 року.
Браузери не є єдиним програмним забезпеченням, яке потрібно оновити. Деякі драйвери апаратних засобів можуть бути вразливими до атак Spectre і потребуватиме оновлень. Будь-яка програма, яка інтерпретує ненадійний код, подібний тому, як веб-браузери інтерпретують код JavaScript на веб-сторінках, потребує оновлення для захисту від атак Spectre. Це лише ще одна причина, щоб постійно підтримувати все своє програмне забезпечення.
Зображення: Virgiliu Obada / Shutterstock.com та cheyennezj / Shutterstock.com