Отсутствие уязвимости в CPU лучшее что может быть, но как проверить есть ли они, эти уязвимости? Как выясняется в современных процессорах они буквально "пачками". И счастливому обладателю «уязвимостей» в лучшем случае предлагается ползать по таблицам и искать каким из них подвержен его процессор. А с течением времени количество найденных дыр только растет.

Простейшим решением предлагается обновление БИОСа/UEFI с установкой новой версии микрокода. Но решает ли оно все проблемы, или собственно хотябы их часть?
Чем это можно проверить? Выясняется что выбор средств для проверки оного не сильно широк.

Счастливым обладателям Виндовса предлагается последовательность из
Install-Module SpeculationControl
Import-Module SpeculationControl
Get-SpeculationControlSettings

к сожалению, обновленный микрокод ни коим образом не повлиял на мой списочек True/False

BTIHardwarePresent: False
BTIWindowsSupportPresent: False
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
L1TFH...: True
L1TFW...: False
L1TFW...: False
L1TDF...: False


Еще интереснее была история с Убунту. Под Линукс существует очень неплохой скрипт в ГитХабе (Spectre, Meltdown, Foreshadow, Fallout, RIDL, ZombieLoad vulnerability/mitigation checker for Linux & BSD ) Который показывает какие дыры на CPU и ОС есть. Но и тут обновление микрокода вообще ни чего не изменило, ну кроме той самой версии микрокода. Всё помеченное красным осталось красным, все промеченное желтым также предательски желтело. В качестве подопытного была Убунту 18.4. А вот смена ее на 18.10 существенно изменило ситуацию, краснота в итоговом списке исчезла полностью.

Что же меня беспокоит, даже при отсутствии «красноты»? А то, что изначальная проблема моего железа, на которую мне указали добрые люди (CVE-2018-3646) и со старым микрокодом была не помечена «красной» и с обновлением ничего не изменилось. Все считается для CVE-2018-3646 безопасным.

Вот и думай, насколько всем этим тестам можно доверять. Конечно можно сказать «захотел бесплатного, вот купи и радуйся», но не подобного ли кота в мешке предлагается купить?
На текущий момент приходится только мечтать о наборе утилит позволяющем своевременно отслеживать все, в том числе и новые, уязвимости в процессорах. И регулярно гонять тесты на поступающих, от Интела и АМД, зверушках.

Комментарии (0)