Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa Strona główna Aktualności05.01.2018 12:23 Udostępnij: O autorze Adam Golański @eimi Wydana w tym tygodniu przez Microsoft łatka KB4056892 uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięci kernela przez zwykłą aplikację. Uodpornienie wiąże się jednak z ogromnymi zmianami w architekturze pamięci, nie dziwcie się więc, jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci. Winę w tym wypadku może ponosić program antywirusowy. Najnowsza łatka wprowadza do Windows 10 wersji 1709 po zastosowaniu łatki rozwiązanie analogiczne do tego, co znamy z Linuksa (KPTI), całkowicie oddzielając od siebie pamięć kernela i pamięć przestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, i podobnie jak KPTI dokładnie czyści też bufor TLB (translation lookaside buffer), czyli pamięć podręczną mikroprocesora, w której przechowywane są fragmenty tablicy stron pamięci operacyjnej komputera. Jak to wygląda w praktyce przedstawił ostatnio badacz Alex Ionescu w swoim tweecie: Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1— Alex Ionescu (@aionescu) November 14, 2017 Wszyscy ci, którzy pospieszyli się z instalowaniem jak najszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10 i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniem wcześniej ostrzeżeń dla wszystkich tych, którzy korzystają z antywirusa innego niż Windows Defender. Problem wynika z tego, że nagle wiele zachowań antywirusów stało się „nielegalnych” – wywołań bezpośrednio do pamięci kernela Windowsa. Takie zaś wywołania kończą się zwykle niebieskim ekranem śmierci i niemożliwością uruchomienia systemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolation powinna zostać pobrana i zainstalowana tylko na tych komputerach, na których antywirusy zostały wcześniej zaktualizowane i umieściły specjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku to zadziałało, albo użytkownicy na własną rękę wymusili instalację łatki – a później patrzyli na piękny niebieski ekran. Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziła już większość popularnych producentów antywirusów – szczegóły znajdziecie w poniższej tabelce. Producent Klucz w rejestrze Wsparcie dla ASLR/VA Więcej informacji AVAST T T Forum Avasta Avira T T Forum Wildersecurity BitDefender N N Wsparcie BitDefender ESET T T F-Secure T T Społeczność F-Secure G-DATA N N Kaspersky T T Wsparcie Kaspersky Lab Malwarebytes T T Blog Malwarebytes McAfee N T Baza wiedzy McAfee Microsoft T T Norton T T Sophos N T Społeczność Sophos Symantec T T Twitter Trend Micro N T Wsparcie Trend Micro Jeśli antywirus nie jest wspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestru nie został jeszcze ustawiony, a producent dał znać, że dostosował swój produkt do zmian w architekturze pamięci Windowsa, można spróbować wymusić instalację KB4056892 ręcznie. W ten celu należy do Rejestru dodać odpowiedni klucz. Jego lokalizacja to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat, nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD a wartość to 0x00000000. Oprogramowanie Udostępnij: Meltdown i Spectre – sprzętowe błędy w niemal wszystkich procesorach Poprzedni Komunikat prasowy Intela w sprawie procesorów – właściwie to nic się nie stało Następny Firefox i Edge już odporne na wykradzenie haseł z pamięci. Z Chrome trzeba poczekać © dobreprogramy Zgłoś błąd w publikacji Zobacz także Microsoft zatrzymał łatki na luki w procesorach AMD 9 sty 2018 Anna Rymsza Oprogramowanie 61 Microsoft nie zabezpieczył całkiem starszych systemów przed Spectre, zabezpieczy je ten programik 15 lis 2018 Adam Golański Oprogramowanie Bezpieczeństwo 58 Fałszywe faktury wciąż zalewają skrzynki mailowe. Jak omijają antywirusy? 30 lis 2018 Kamil J. Dudek Internet Bezpieczeństwo 106 Windows 10 ma problem z chmurą iCloud: Microsoft i Apple łączą siły, by go wyeliminować 19 lis 2018 Oskar Ziomek Oprogramowanie 29
Udostępnij: O autorze Adam Golański @eimi Wydana w tym tygodniu przez Microsoft łatka KB4056892 uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięci kernela przez zwykłą aplikację. Uodpornienie wiąże się jednak z ogromnymi zmianami w architekturze pamięci, nie dziwcie się więc, jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci. Winę w tym wypadku może ponosić program antywirusowy. Najnowsza łatka wprowadza do Windows 10 wersji 1709 po zastosowaniu łatki rozwiązanie analogiczne do tego, co znamy z Linuksa (KPTI), całkowicie oddzielając od siebie pamięć kernela i pamięć przestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, i podobnie jak KPTI dokładnie czyści też bufor TLB (translation lookaside buffer), czyli pamięć podręczną mikroprocesora, w której przechowywane są fragmenty tablicy stron pamięci operacyjnej komputera. Jak to wygląda w praktyce przedstawił ostatnio badacz Alex Ionescu w swoim tweecie: Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1— Alex Ionescu (@aionescu) November 14, 2017 Wszyscy ci, którzy pospieszyli się z instalowaniem jak najszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10 i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniem wcześniej ostrzeżeń dla wszystkich tych, którzy korzystają z antywirusa innego niż Windows Defender. Problem wynika z tego, że nagle wiele zachowań antywirusów stało się „nielegalnych” – wywołań bezpośrednio do pamięci kernela Windowsa. Takie zaś wywołania kończą się zwykle niebieskim ekranem śmierci i niemożliwością uruchomienia systemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolation powinna zostać pobrana i zainstalowana tylko na tych komputerach, na których antywirusy zostały wcześniej zaktualizowane i umieściły specjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku to zadziałało, albo użytkownicy na własną rękę wymusili instalację łatki – a później patrzyli na piękny niebieski ekran. Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziła już większość popularnych producentów antywirusów – szczegóły znajdziecie w poniższej tabelce. Producent Klucz w rejestrze Wsparcie dla ASLR/VA Więcej informacji AVAST T T Forum Avasta Avira T T Forum Wildersecurity BitDefender N N Wsparcie BitDefender ESET T T F-Secure T T Społeczność F-Secure G-DATA N N Kaspersky T T Wsparcie Kaspersky Lab Malwarebytes T T Blog Malwarebytes McAfee N T Baza wiedzy McAfee Microsoft T T Norton T T Sophos N T Społeczność Sophos Symantec T T Twitter Trend Micro N T Wsparcie Trend Micro Jeśli antywirus nie jest wspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestru nie został jeszcze ustawiony, a producent dał znać, że dostosował swój produkt do zmian w architekturze pamięci Windowsa, można spróbować wymusić instalację KB4056892 ręcznie. W ten celu należy do Rejestru dodać odpowiedni klucz. Jego lokalizacja to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat, nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD a wartość to 0x00000000. Oprogramowanie Udostępnij: Meltdown i Spectre – sprzętowe błędy w niemal wszystkich procesorach Poprzedni Komunikat prasowy Intela w sprawie procesorów – właściwie to nic się nie stało Następny Firefox i Edge już odporne na wykradzenie haseł z pamięci. Z Chrome trzeba poczekać © dobreprogramy Zgłoś błąd w publikacji