И снова здравствуйте! У большинства из вас продолжаются праздники, но уже подбирается паника по поводу того, что завтра начнутся трудо выебудни, так что немного полезной информации вам в ленту для постепенного погружения в рабочий режим (хотя тема с Meltdown/Spectre не давала вам расслабиться всю неделю). Например, сразу две интересные статьи о том, как сразу несколько команд одновременно пришли к обнаружению таких серьезных уязвимостей в процессорах:
https://cyber.wtf/2018/01/05/behind-the-scene-of-a-bug-collision/
и
https://www.wired.com/story/meltdown-spectre-bug-collision-intel-chip-flaw-discovery/
если вкратце, то "звезды сошлись", а точнее — наконец-то сошлось многолетнее знание о безопасности процессоров различных экспертов.
https://cyber.wtf/2018/01/05/behind-the-scene-of-a-bug-collision/
и
https://www.wired.com/story/meltdown-spectre-bug-collision-intel-chip-flaw-discovery/
если вкратце, то "звезды сошлись", а точнее — наконец-то сошлось многолетнее знание о безопасности процессоров различных экспертов.
cyber.wtf
Behind the scenes of a bug collision
Introduction In this blog post I’ll speculate as to how we ended up with multiple researchers arriving at the same vulnerabilities in modern CPU’s concurrently. The conclusion is that t…
Кстати, еще про Meltdown — сразу несколько важных моментов для пользователей Windows:
1. Апдейт для Windows 10 может не устанавливаться на некоторых компьютерах с чипсетами AMD. А если устанавливается, то компьютер после этого не загружается (успех!) — за ссылку спасибо читателю Евгению
https://www.windowslatest.com/2018/01/05/windows-10-kb4056892-16299-192-not-installing-error-0x800f0845/
А еще и с Windows 7 там тоже какие-то траблы, вот официальная информация от Microsoft по этому поводу
https://answers.microsoft.com/en-us/windows/forum/windows_7-update/stop-0x000000c4-after-installing-kb4056894-2018-01/f09a8be3-5313-40bb-9cef-727fcdd4cd56?auth=1&rtAction=1515190079156
2. а еще апдейт оказывается несовместим с некоторыми антивирусными продуктами, которые ломятся куда-то в область памяти ядра и вызывают BSOD.
разработчик антивирусного ПО должен добавить следующую запись в реестр
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
Без нее, если у вас установлен "несовместимый" антивирус, апдейт, исправляющий Meltdown, не поставится. более того, и ВСЕ ПОСЛЕДУЮЩИЕ обновления безопасности тоже не будут ставиться. Сюрприз!
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
(я не проверял, но по слухам, если у вас на машине отключен Windows Defender, то апдейт тоже не будет автоматически ставиться. wtf?)
1. Апдейт для Windows 10 может не устанавливаться на некоторых компьютерах с чипсетами AMD. А если устанавливается, то компьютер после этого не загружается (успех!) — за ссылку спасибо читателю Евгению
https://www.windowslatest.com/2018/01/05/windows-10-kb4056892-16299-192-not-installing-error-0x800f0845/
А еще и с Windows 7 там тоже какие-то траблы, вот официальная информация от Microsoft по этому поводу
https://answers.microsoft.com/en-us/windows/forum/windows_7-update/stop-0x000000c4-after-installing-kb4056894-2018-01/f09a8be3-5313-40bb-9cef-727fcdd4cd56?auth=1&rtAction=1515190079156
2. а еще апдейт оказывается несовместим с некоторыми антивирусными продуктами, которые ломятся куда-то в область памяти ядра и вызывают BSOD.
разработчик антивирусного ПО должен добавить следующую запись в реестр
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
Без нее, если у вас установлен "несовместимый" антивирус, апдейт, исправляющий Meltdown, не поставится. более того, и ВСЕ ПОСЛЕДУЮЩИЕ обновления безопасности тоже не будут ставиться. Сюрприз!
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
(я не проверял, но по слухам, если у вас на машине отключен Windows Defender, то апдейт тоже не будет автоматически ставиться. wtf?)
Windows Latest
Windows 10 KB4056892 (16299.192) fails to install with error 0x800f0845
Microsoft yesterday began rolling out a new Windows 10 cumulative update to address a critical vulnerability. It appears that Windows 10 KB4056892 won't install on some PCs with error 0x800f0845.
Но есть и хорошие новости! анонсирован WPA3 и его фичи!
Four new capabilities for personal and enterprise Wi-Fi networks will emerge in 2018 as part of Wi-Fi CERTIFIED WPA3™. Two of the features will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations, and will simplify the process of configuring security for devices that have limited or no display interface. Another feature will strengthen user privacy in open networks through individualized data encryption. Finally, a 192-bit security suite, aligned with the Commercial National Security Algorithm (CNSA) Suite from the Committee on National Security Systems, will further protect Wi-Fi networks with higher security requirements such as government, defense, and industrial.
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
Four new capabilities for personal and enterprise Wi-Fi networks will emerge in 2018 as part of Wi-Fi CERTIFIED WPA3™. Two of the features will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations, and will simplify the process of configuring security for devices that have limited or no display interface. Another feature will strengthen user privacy in open networks through individualized data encryption. Finally, a 192-bit security suite, aligned with the Commercial National Security Algorithm (CNSA) Suite from the Committee on National Security Systems, will further protect Wi-Fi networks with higher security requirements such as government, defense, and industrial.
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
И еще хорошие новости для пользователей iOS — вышел апдейт iOS 11.2.2, исправляющий проблему уязвимости Spectre. Там, в результате уязвимости, напомню, вредоносный JavaScript мог воровать данные из памяти других приложений. Вы знаете, что делать!
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Description: iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715).
https://support.apple.com/en-us/HT208401
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Description: iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715).
https://support.apple.com/en-us/HT208401
Apple Support
About the security content of iOS 11.2.2
This document describes the security content of iOS 11.2.2.
Еще вышел дополнительный апдейт для macOS 10.13.2, который тоже исправляет проблему Spectre на Маке, и может содержать дополнительные улучшения для исправлений против Meltdown
https://support.apple.com/en-us/HT208397
https://support.apple.com/en-us/HT208397
Apple Support
About the security content of macOS High Sierra 10.13.2 Supplemental Update
This document describes the security content of macOS High Sierra 10.13.2 Supplemental Update.
О! Для пользователей чуть более старых версий macOS — El Capitan 10.11.6 и Sierra 10.12.6 — вышел апдейт Safari 11.0.2, который защищает пользователей от Spectre
https://support.apple.com/en-us/HT208403
https://support.apple.com/en-us/HT208403
Apple Support
About the security content of Safari 11.0.2
This document describes the security content of Safari 11.0.2.
Касательно вышедших сегодня апдейтов для iOS/macOS/Safari языковые эксперты настаивают на том, чтобы я уточнил, что речь не идет о полном фиксе Spectre, а о недопущении (смягчении) отрицательных последствий. Это важно, %username%! Возможно, что полного фикса для Spectre вообще не будет. А может, и будет. Но в любом случае, после установки вышедшего апдейта должно быть лучше (в смысле безопасней)
Поскольку новостей про Meltdown и Spectre по-прежнему много, то я буду собирать их и публиковать отдельным постом, чтобы не частить. А то, подозреваю, количество сообщений в канале утомило не только меня, но и вас. Так вот:
1. Что нужно знать пользователям Android и Chrome о Meltdown/Spectre
https://www.androidcentral.com/meltdown-spectre
если вкратце: да, вас это, скорей всего, затрагивает. да, надо ставить апдейты. нужно больше осторожности.
2. Что Meltdown/Spectre значат для WebKit
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
Это относится к iOS, macOS и Safari. Соответствующие апдейты, минимизирующие риски, уже выпущены. Потеря производительности незначительна.
3. CEO Intel пообещал, что апдейты для 90+% затронутых процессоров выйдут в течение следующей (то есть этой) недели
https://techcrunch.com/2018/01/08/intel-ces/
4. Microsoft временно приостановила раздачу апдейтов, защищающих от Meltdown/Spectre в связи с тем, что многие пользователи жалуются на проблемы после апдейтов. В частности, пользователи жалуются на такую мелочь, как то, что компьютеры перестают загружаться. Подумаешь!
https://www.theverge.com/2018/1/9/16867068/microsoft-meltdown-spectre-security-updates-amd-pcs-issues
Берегите там себя!
1. Что нужно знать пользователям Android и Chrome о Meltdown/Spectre
https://www.androidcentral.com/meltdown-spectre
если вкратце: да, вас это, скорей всего, затрагивает. да, надо ставить апдейты. нужно больше осторожности.
2. Что Meltdown/Spectre значат для WebKit
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
Это относится к iOS, macOS и Safari. Соответствующие апдейты, минимизирующие риски, уже выпущены. Потеря производительности незначительна.
3. CEO Intel пообещал, что апдейты для 90+% затронутых процессоров выйдут в течение следующей (то есть этой) недели
https://techcrunch.com/2018/01/08/intel-ces/
4. Microsoft временно приостановила раздачу апдейтов, защищающих от Meltdown/Spectre в связи с тем, что многие пользователи жалуются на проблемы после апдейтов. В частности, пользователи жалуются на такую мелочь, как то, что компьютеры перестают загружаться. Подумаешь!
https://www.theverge.com/2018/1/9/16867068/microsoft-meltdown-spectre-security-updates-amd-pcs-issues
Берегите там себя!
Android Central
Meltdown Hack and Spectre Bug: How it affects Android & Chrome Users
The information you need to know so you can stay safe.
Microsoft поделилась информацией о том, как исправления для уязвимости Spectre повлияют на производительность компьютеров с Windows:
– Windows 10 running on Skylake, Kaby Lake or newer CPU show benchmarks show “single-digit slowdowns”, but most users shouldn’t expect to see noticeable slowdowns
– Windows 10 running on Haswell or older CPUs “show more significant slowdowns” and “some users will notice a decrease in system performance”
– Windows 7 or Windows 8 running on Haswell or older CPUs means “most users will notice a decrease in system performance
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
– Windows 10 running on Skylake, Kaby Lake or newer CPU show benchmarks show “single-digit slowdowns”, but most users shouldn’t expect to see noticeable slowdowns
– Windows 10 running on Haswell or older CPUs “show more significant slowdowns” and “some users will notice a decrease in system performance”
– Windows 7 or Windows 8 running on Haswell or older CPUs means “most users will notice a decrease in system performance
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
Microsoft News
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
Currently three exploits have been demonstrated as technically possible. In partnership with our silicon partners, we have mitigated those through changes to Windows and silicon microcode.
и об утечках. наверно, самая маленькая утечка, о которой когда либо сообщалось в этом канале. Есть такой сервис — Wag, это для владельцев собак, которые через сервис находят желающих прогулять их собачку. Так вот, этот сервис случайно опубликовал данные на 100 пользователей, включая коды домофонов. Причем там какая-то хитрая история о том, что вроде как подобные данные публиковались каждый день, и поэтому утечка может быть гораздо больше. Компания утверждает, что, по их мнению, этими данными никто не успел воспользоваться. "по крайней мере, никого пока не ограбили", говорит компания. ссылка на WSJ, но там paywall
https://www.wsj.com/articles/dog-walking-app-exposed-home-addresses-and-lockbox-codes-1515524881
https://www.wsj.com/articles/dog-walking-app-exposed-home-addresses-and-lockbox-codes-1515524881
WSJ
Dog-Walking App Exposed Home Addresses and Lockbox Codes
Wag Labs, the company behind a popular dog-walking smartphone app, inadvertently exposed webpages showing customer information including addresses and lockbox codes that could have enabled thieves to break into homes.
Эпичная история про чувака, который сделал пакет, включенный в зависмости многих других пакетов для веба, и распространялся через nmp. На первый взгляд пакет обладал полезной функциональностью, но также умел воровать пользовательские данные из форм на страницах — в частности, юзернеймы, пароли, данные банковских карточек. Демонстрирует, насколько легко взять и распространить свой код на тысячи вебсайтов.
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Hackernoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Очередной привет от Apple своим пользователям в плане безопасности. Если зайти в системные настройки macOS, раздел App Store, то на 10.13.2 разблокировать доступ к настройкам можно любым паролем. Я у себя на бете 10.13.3 воспроизвести не смог, так что, похоже, что в бете это уже исправили. В статье пишут, что на 10.12.6 тоже не воспроизводится, так что проблема характерна только для High Sierra. Знаете, как шутят, что жизнь как зебра, где белая полоса, черная полоса, белая полоса, черная полоса... Так вот, что-то в последнее время у Apple с темой безопасности мало того, что какая-то черная зебра попалась, так, чувствую, мы еще и к жопе подбираемся.
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
MacRumors
macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password [Updated]
A bug report submitted on Open Radar this week has revealed a security flaw in the current version of macOS High Sierra that allows the App Store...
так, пользователей Windows с глюками апдейтов для Spectre/Meltdown я сегодня уже обрадовал. Пользователей Маков с дырой в системных настройках — тоже. Кто там у нас остался? Пользователи Linux! Ну, у них-то все должно быть в порядке, правда? А вот и нет! патчи против Meltdown/Spectre "кирпичат" Ubuntu 16.04. Ой!
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-bricking-ubuntu-16-04-computers/
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-bricking-ubuntu-16-04-computers/
BleepingComputer
Meltdown & Spectre Patches Causing Boot Issues for Ubuntu 16.04 Computers
Ubuntu Xenial 16.04 users who updated to receive the Meltdown and Spectre patches are reporting they are unable to boot their systems and have been forced to roll back to an earlier Linux kernel image.
умный сейф, говорили они... https://twitter.com/BBCClick/status/951057832060780544/video/1
АПД ссылка на статью на BBC http://www.bbc.com/news/av/technology-42634501/ces-2018-ikeyp-smart-safe-proves-easy-to-crack-open
АПД ссылка на статью на BBC http://www.bbc.com/news/av/technology-42634501/ces-2018-ikeyp-smart-safe-proves-easy-to-crack-open
Подъехали результаты тестирования macOS с апдейтом против Meltdown. Есть хорошие новости и плохие. В частности, в среднем потерей производительности после апдейтов можно пренебречь, если смотреть на результаты тестирования с помощью Geekbench, особенно если учесть существенный прирост производительности между 10.13.0 и 10.13.2 в некоторых тестах. На задачах типа компилирования потеря производительности составила от 2 до 9%. На задаче типа разархивирования большого файла падение производительности от 6 до 12%, если сравнивать 10.13.0 против 10.13.2, и более 40%, если сравнивать машину 10.12.6 против 10.13.2 (там, похоже, накладываются проблемы производительности APFS против HFS+).
Также замеряли производительность на системных функциях — getpid, read, write, lseek, gettimeofday — и там начинается самая жопа, с потерей производительности до 300% в некоторых случаях. В реальных условиях, конечно, большинство пользователей этого не заметит, но когда это останавливало журналистов от статей вроде "ЭПОЛ ЗАМЕДЛИЛА СВОИ КОМПЬЮТЕРЫ ПРОЦЕНТОВ НА ТРИСТА" (хаха, шутки про тракториста)
много деталей по ссылке https://reverse.put.as/2018/01/07/measuring-osx-meltdown-patches-performance/
Также замеряли производительность на системных функциях — getpid, read, write, lseek, gettimeofday — и там начинается самая жопа, с потерей производительности до 300% в некоторых случаях. В реальных условиях, конечно, большинство пользователей этого не заметит, но когда это останавливало журналистов от статей вроде "ЭПОЛ ЗАМЕДЛИЛА СВОИ КОМПЬЮТЕРЫ ПРОЦЕНТОВ НА ТРИСТА" (хаха, шутки про тракториста)
много деталей по ссылке https://reverse.put.as/2018/01/07/measuring-osx-meltdown-patches-performance/
Reverse Engineering
Measuring OS X Meltdown Patches Performance
Happy New Year and happy ten year anniversary to this blog, which I totally forgot back in October :-/.
Blogging activity here has been so slow that I almost forgot how to work with Hugo.
We started 2018 with heavy speculation on critical CPU bugs that were…
Blogging activity here has been so slow that I almost forgot how to work with Hugo.
We started 2018 with heavy speculation on critical CPU bugs that were…