r   e   k   l   a   m   a
r   e   k   l   a   m   a

Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa

Strona główna AktualnościOPROGRAMOWANIE

Wydana w tym tygodniu przez Microsoft łatka KB4056892 uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięci kernela przez zwykłą aplikację. Uodpornienie wiąże się jednak z ogromnymi zmianami w architekturze pamięci, nie dziwcie się więc, jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci. Winę w tym wypadku może ponosić program antywirusowy.

Najnowsza łatka wprowadza do Windows 10 wersji 1709 po zastosowaniu łatki rozwiązanie analogiczne do tego, co znamy z Linuksa (KPTI), całkowicie oddzielając od siebie pamięć kernela i pamięć przestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, i podobnie jak KPTI dokładnie czyści też bufor TLB (translation lookaside buffer), czyli pamięć podręczną mikroprocesora, w której przechowywane są fragmenty tablicy stron pamięci operacyjnej komputera. Jak to wygląda w praktyce przedstawił ostatnio badacz Alex Ionescu w swoim tweecie:

Wszyscy ci, którzy pospieszyli się z instalowaniem jak najszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10 i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniem wcześniej ostrzeżeń dla wszystkich tych, którzy korzystają z antywirusa innego niż Windows Defender.

Problem wynika z tego, że nagle wiele zachowań antywirusów stało się „nielegalnych” – wywołań bezpośrednio do pamięci kernela Windowsa. Takie zaś wywołania kończą się zwykle niebieskim ekranem śmierci i niemożliwością uruchomienia systemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolation powinna zostać pobrana i zainstalowana tylko na tych komputerach, na których antywirusy zostały wcześniej zaktualizowane i umieściły specjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku to zadziałało, albo użytkownicy na własną rękę wymusili instalację łatki – a później patrzyli na piękny niebieski ekran.

Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziła już większość popularnych producentów antywirusów – szczegóły znajdziecie w poniższej tabelce.

Producent Klucz w rejestrze Wsparcie dla ASLR/VA Więcej informacji
AVAST T T Forum Avasta
Avira T T Forum Wildersecurity
BitDefender N N Wsparcie BitDefender
ESET T T
F-Secure T T Społeczność F-Secure
G-DATA N N
Kaspersky T T Wsparcie Kaspersky Lab
Malwarebytes T T Blog Malwarebytes
McAfee N T Baza wiedzy McAfee
Microsoft T T
Norton T T
Sophos N T Społeczność Sophos
Symantec T T Twitter
Trend Micro N T Wsparcie Trend Micro

Jeśli antywirus nie jest wspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestru nie został jeszcze ustawiony, a producent dał znać, że dostosował swój produkt do zmian w architekturze pamięci Windowsa, można spróbować wymusić instalację KB4056892 ręcznie.

W ten celu należy do Rejestru dodać odpowiedni klucz. Jego lokalizacja to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat, nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD a wartość to 0x00000000.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.