COMPTOIR
  
register

Spectre : la mise à jour du microcode de Skylake disponible aussi chez Microsoft

Certains avaient peut-être déjà oublié l’existence des failles Meltdown et Spectre, mais rassurez-vous, ces deux touristes ne sont pas encore prêt à vous oublier, eux ! Suite aux déboires des premiers correctifs et d'une certaine période d'avancée à l'aveuglette, il y a depuis tout de même des progrès qui ont été faits, et Intel assure avoir désormais fourni aux OEM les mises à jour requises pour mitiger les effets de Spectre sur les CPU Haswell, Broadwell, Skylake, Kaby Lake et Coffee Lake. C'est ensuite aux OEM de procéder à la distribution des BIOS pour leurs produits respectifs, et aux utilisateurs les plus braves de les installer s'ils le souhaitent.

En parallèle, Microsoft a également décidé de procéder a sa propre distribution des nouveaux microcodes, à commencer par celui pour les processeurs Skylake (6ème génération). Notez que la mise à jour n'est pas distribuée par l’intermédiaire de Windows Update (et c'est peut-être beaucoup mieux ainsi), il faut donc procéder soi-même au téléchargement et à l'installation, sachant que celle-ci se lancera uniquement sous Windows 10 version 1709. Microsoft a aussi assuré que les nouveaux microcodes corrigés des autres générations suivront éventuellement, sans donner de date précise.

 

Il a cependant été confirmé par Microsoft que le patch ainsi installé opère à un niveau différent par rapport à une même mise à jour via le BIOS; la première solution permet de remplacer l’état par défaut de la ROM du BIOS, alors que la seconde procède à la réécriture même de la ROM. De ce fait, l’application du patch du nouveau microcode avec une mise à jour du BIOS sera permanente, alors que l'installation du patch fournit par Windows ne sera plus valide en cas de réinstallation de l'OS.

Le résultat est le même et le niveau de protection identique, mais c'est un point dont il faudra se rappeler à l'avenir surtout si les failles vous inquiètent un tant soit peu. Au moins, si vous êtes sous Windows 10 mais que votre constructeur de carte mère ne fournit plus aucun BIOS pour votre modèle un peu "âgé", vous disposerez alors d'un plan B pour vous protéger du potentiel fantôme dans la machine.

 

 

spectreprime transformer

Un poil avant ?

49 900$ en trop ? Vous pouvez maintenant vous offrir une station DGX de NVIDIA !

Un peu plus tard ...

La gamme Pinnacle Ridge leakée ?

Les 10 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un rat goth à l'heure embusqué, le Vendredi 09 Mars 2018 à 12h09  
Oui mais justement, comme c'est l'os qui injecte le nouveau microcode dans le cpu à chaque démarrage du système, n'y a t'il pas le risque que cette injection soit empêchée par un programme lancé avant dans la séquence de boot ?
par Un rat goth à l'heure embusqué, le Jeudi 08 Mars 2018 à 10h55
Le patch dont la niouze parle est une mise à jour du micro-code du CPU (son firmware si tu préfère), étant donné que c'est dans les couches les plus basses du hardware normalement tu n'est plus affecté par Spectre et Meltdown avant le séquence de boot (en gros le MINIX 3 qui charge avant ton UEFI est protégé ).
Par contre si tu n'avais que le patch de l'OS (et pas celui du micro-code) oui tu serais vulnérable pendant la séquence de boot.
par Arobase40, le Jeudi 08 Mars 2018 à 18h00  
Les patches Meltdown de Microsoft avec Windows 7 c'est de la vraie me*de et ça se ressent fortement puisque j'utilise majoritairement VirtualDub-Mpeg pour du réencodage vidéo avec un Haswell ou un Broadwell, je ne sais plus trop vraiment et la chute est vraiment brutale et monstrueuse !

Je suis à 10 ou 12 fps alors qu'avant j'étais au alentour de 60 fps.

Je pensais que c'était une illusion, mais après avoir désactiver le patch MS Meltdown, c'est bien les chiffres que je retrouve et le temps pour réencoder une vidéo est très largement diminué...

Je pense que je vais isoler cette machine d'internet tout en le laissant actif sur mon réseau interne pour les échanges inter-machines...

PS : je ne peux pas compter sur Gigabyte qui a totalement abandonné ma carte mère et donc pas de BIOS à disposition, donc de toute façon je n'achèterai plus jamais de Gigabyte !!!
par Un rat goth à l'heure embusqué, le Jeudi 08 Mars 2018 à 10h55  
par un rat goth à l'heure embusqué, le Jeudi 08 Mars 2018 à 10h03
Ma question n'est pas très claire visiblement !!! En fait, ces patch étant appliqués à chaque chargement de l'OS, y-a-t'il un risque qu'un malware chargé avant pendant la séquence de boot empêche leur mise en place et que l'on se croit protégé alors qu'en fait ces failles seraient encore en place ?
Le patch dont la niouze parle est une mise à jour du micro-code du CPU (son firmware si tu préfère), étant donné que c'est dans les couches les plus basses du hardware normalement tu n'est plus affecté par Spectre et Meltdown avant le séquence de boot (en gros le MINIX 3 qui charge avant ton UEFI est protégé ).
Par contre si tu n'avais que le patch de l'OS (et pas celui du micro-code) oui tu serais vulnérable pendant la séquence de boot.
par un rat goth à l'heure embusqué, le Jeudi 08 Mars 2018 à 10h03  
par Un rat goth à l'heure embusqué, le Mercredi 07 Mars 2018 à 20h42
Un malware dans le bootloader pourrait-il empêcher le fonctionnement de ces patch après leur première utilisation ?
Ma question n'est pas très claire visiblement !!! En fait, ces patch étant appliqués à chaque chargement de l'OS, y-a-t'il un risque qu'un malware chargé avant pendant la séquence de boot empêche leur mise en place et que l'on se croit protégé alors qu'en fait ces failles seraient encore en place ?
par Un rat goth à l'heure embusqué, le Jeudi 08 Mars 2018 à 08h16  
par Un champion du monde embusqué, le Jeudi 08 Mars 2018 à 07h37
Je pense qu'il parle plutôt du bootloader du système MINIX que Intel a généreusement exploité pour son UEFI.
Ah le Intel ME? Un outil est sorti pour le virer en partie. lien procédure comment ca fonctionne
par Un champion du monde embusqué, le Jeudi 08 Mars 2018 à 07h37  
par Un ragoteur qui aime les embusqué, le Jeudi 08 Mars 2018 à 06h53
Quand tu parle de bootloader j'imagine que tu parle de GRUB/systemd-boot/Windows Boot Manager/etc... ? Parce-que si c'est ça en fait le problème est matériel et ne peux être résolu correctement que en patchant le micro-code donc avant la séquence du bootloader. (on peut également patcher via l'OS mais c'est pas une vraie solution.)
Je pense qu'il parle plutôt du bootloader du système MINIX que Intel a généreusement exploité pour son UEFI.
par Un ragoteur qui aime les embusqué, le Jeudi 08 Mars 2018 à 06h53  
par Un rat goth à l'heure embusqué, le Mercredi 07 Mars 2018 à 20h42
Un malware dans le bootloader pourrait-il empêcher le fonctionnement de ces patch après leur première utilisation ?
Quand tu parle de bootloader j'imagine que tu parle de GRUB/systemd-boot/Windows Boot Manager/etc... ? Parce-que si c'est ça en fait le problème est matériel et ne peux être résolu correctement que en patchant le micro-code donc avant la séquence du bootloader. (on peut également patcher via l'OS mais c'est pas une vraie solution.)
par Un ragoteur charitable embusqué, le Jeudi 08 Mars 2018 à 05h36  
C'est bien qu'une protection arrive contre ces failles de deux manières différentes. Par contre, on garde toujours le sentiment d'être espionné à cause de l'Intel management engine. Les nouvelles mises a jour de BIOS mettent a jour aussi souvent ce composant bien décrié. AMD semble plus clean qu'intel de ce côté.
par Un rat goth à l'heure embusqué, le Mercredi 07 Mars 2018 à 20h42  
Un malware dans le bootloader pourrait-il empêcher le fonctionnement de ces patch après leur première utilisation ?
par Un ragoteur tout mignon embusqué, le Mercredi 07 Mars 2018 à 20h36  
Quelle.grosse m**** quand même ! Je suis sur Broadwell