Microsoft випускає аварійне оновлення Windows для помилок безпеки процесора

Сьогодні Microsoft випускає позапланове оновлення безпеки для підтримуваних версій Windows 10. Оновлення програмного забезпечення є частиною ряду виправлень, які будуть захищати від нещодавно виявленої помилки процесора в наборах мікросхем Intel, AMD і ARM.

Джерела, знайомі з планами Microsoft повідомляють, що компанія випустить оновлення для Windows, яке буде автоматично застосоване до машин Windows 10 сьогодні. Оновлення також буде доступне для старих і підтримуваних версій Windows сьогодні, але системи, що працюють під управлінням ОС, таких як Windows 7 або Windows 8, не будуть автоматично оновлюватися через служби Windows Update до наступного вівторка. Windows 10 буде автоматично оновлюватися сьогодні.

Що відомо?

Хоча Microsoft швидко вирішує ці проблеми, виправлення будуть також залежати від оновлень прошивки від Intel, AMD або інших постачальників, які розгортаються. Деяким постачальникам антивірусних програм також необхідно буде оновити своє програмне забезпечення для правильної роботи з новими виправленнями, оскільки зміни пов’язані з доступом на рівні ядра.

Представники компанії Microsoft офіційно підтвердили випуск екстреного оновлення. “Ми знаємо про цю галузеву проблему й тісно співпрацюємо з виробниками чіпів для розробки й тестування пом’якшувальних заходів для захисту наших клієнтів. Ми знаходимося у процесі розгортання пом’якшень для хмарних сервісів, а також випустили оновлення для захисту клієнтів Windows від вразливостей, що впливають на підтримувані апаратні чіпи від Intel, ARM і AMD. Ми не отримали ніякої інформації, щоб вказати, що ці уразливості використовувалися для атаки наших клієнтів”.

Уразливість процесорів Intel, ARM і AMD ставить під удар Windows, Linux та macOS?

Деталі уразливості стануть відомі пізніше в цьому місяці, після того, як будуть випущені необхідні оновлення (Linux вже, апдейт для Windows на підході, Apple традиційно відмовчується). Суть проблеми в наступному: сучасні операційні системи випадковим чином змінюють розташування коду ядра при кожному завантаженні, але оскільки процесори Intel з архітектурою x86-64 виконують інструкції доступу до пам’яті без додаткової перевірки на безпеку, застосунок може прочитати закриті дані. Звичайні програми так не роблять, але це ще одна лазівка ​​для хакерів.

Для вирішення проблеми розробникам доведеться відокремити пам’ять ядра від пам’яті користувальницьких процесів (модель KPTI або Kernel Page Table Isolation). При цьому процесору доведеться кожного разу скидати буфер асоціативної трансляції TLB при вході в ядро, що сильно позначається на швидкості роботи. У чіпах останніх років це не так помітно завдяки підтримці функцій PCID/ASID.

Перші тести показали, що перехід на KPTI не зробить серйозного впливу на продуктивність в іграх, а от при роботі з базами даних (PostgreSQL, Redis) різниця вже помітна. Як відзначають експерти, у результаті найбільше постраждають платформи хмарних обчислень і віртуалізації, включаючи Amazon Web Services, Microsoft Azure та Google Compute Engine.

Що відомо про AMD?

Спочатку була інформація, що процесори AMD дана проблема не торкнулася, але пізніше з’явилося повідомлення, що все таки в AMD вона теж існує. Ще в кінці минулого року співробітник AMD Томас Лендакі заявив, що останні процесори AMD (Opteron, Ryzen, EPYC і т. д.) мають імунітет до вищеописаної уразливості. Проте радість шанувальників «червоних» виявилася передчасною – розробники, схоже, вирішили не враховувати захищеність архітектури AMD від подібного типу атак і випустити універсальні виправлення KPTI [Kernel Page Table Isolation] для усіх систем. Принаймні, на це вказує виправлена ​​версія ядра Linux під порядковим номером 4.15, яка вважає, що AMD містять вразливість.

На даний момент існує висока ймовірність, що розробники ОС просто проігнорують імунітет чіпів AMD і не додадуть їх у виняток. Як результат, після випуску виправлень KPTI зі продуктивністю систем на процесорах AMD трапиться рівно те ж саме, що і з машинами на чіпах Intel. Тобто, вона істотно знизиться. Але будемо сподіватися, що «червоні» знайдуть потрібні слова, і розробники все ж зроблять виняток для компанії. Поки що усі подробиці щодо вразливості тримаються у строгому секреті, повний звіт повинні опублікувати ближче до кінця місяця після випуску виправлень.

Відзначимо, що архітектура ARM64 ніби як теж схильна до уразливості, але які будуть наслідки впровадження виправлень для користувачів смартфонів, поки невідомо.

Чи можна вже отримати екстрене оновлення Windows?

На момент написання новини ще не було критичного оновлення Windows 10. Перевірити наявність оновлення досить просто. Для цього відкрийте Параметри – Оновлення та Безпека, клікніть на Перевірка наявності оновлення.

Система автоматично завантажить і встановить необхідне критичне оновлення. Якщо ж вам не терпиться отримати це оновлення, то можете завантажити його з каталогу оновлень Microsoft. Ми ж рекомендуємо вам дочекатися, коли критичне оновлення з’явиться в Центрі оновлень Windows 10.