Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa

Strona głównaNiebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa
05.01.2018 12:23
Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa
bDZPKUva

Wydana w tym tygodniu przez Microsoft łatka KB4056892uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięcikernela przez zwykłą aplikację. Uodpornienie wiąże się jednak zogromnymi zmianami w architekturze pamięci, nie dziwcie się więc,jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci.Winę w tym wypadku może ponosić program antywirusowy.

bDZPKUut

Najnowsza łatka wprowadza do Windows 10 wersji 1709 pozastosowaniu łatki rozwiązanie analogiczne do tego, co znamy zLinuksa (KPTI),całkowicie oddzielając od siebie pamięć kernela i pamięćprzestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, ipodobnie jak KPTI dokładnie czyści też bufor TLB (translationlookaside buffer), czyli pamięć podręczną mikroprocesora, wktórej przechowywane są fragmenty tablicy stron pamięcioperacyjnej komputera. Jak to wygląda w praktyce przedstawiłostatnio badacz Alex Ionescu w swoim tweecie:

Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1

— Alex Ionescu (@aionescu) November 14, 2017Wszyscy ci, którzy pospieszyli się z instalowaniem jaknajszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniemwcześniej ostrzeżeńdla wszystkich tych, którzy korzystają z antywirusa innego niżWindows Defender.

bDZPKUuv

Problem wynika z tego, że nagle wiele zachowań antywirusówstało się „nielegalnych” – wywołań bezpośrednio do pamięcikernela Windowsa. Takie zaś wywołania kończą się zwykleniebieskim ekranem śmierci i niemożliwością uruchomieniasystemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolationpowinna zostać pobrana i zainstalowana tylko na tych komputerach, naktórych antywirusy zostały wcześniej zaktualizowane i umieściłyspecjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku tozadziałało, albo użytkownicy na własną rękę wymusiliinstalację łatki – a później patrzyli na piękny niebieskiekran.

Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziłajuż większość popularnych producentów antywirusów – szczegółyznajdziecie w poniższej tabelce.

ProducentKluczwrejestrzeWsparciedlaASLR/VAWięcejinformacji
AVASTTTForumAvasta(https://forum.avast.com/index.php?topic=212648.msg1439270#msg1439270)AviraTTForumWildersecurity(https://www.wilderssecurity.com/threads/bork-tuesday-any-problems-yet.370217/page-147#post-2728947)BitDefenderNNWsparcieBitDefender(https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018)ESETTT\r\nF-SecureTTSpołecznośćF-Secure(https://community.f-secure.com/t5/F-Secure-SAFE/F-Secure-SAFE-and-KB4056892/m-p/103474)G-DATANN\r\nKasperskyTTWsparcieKasperskyLab(https://support.kaspersky.co.uk/14042)MalwarebytesTTBlogMalwarebytes(https://blog.malwarebytes.com/security-world/2018/01/meltdown-and-spectre-what-you-need-to-know/)McAfeeNTBazawiedzyMcAfee(https://kc.mcafee.com/corporate/index?page=content&id=KB90167)MicrosoftTT\r\nNortonTT\r\nSophosNTSpołecznośćSophos(https://community.sophos.com/kb/en-us/128053)SymantecTTTwitter(https://pbs.twimg.com/media/DSsRaXBVoAEDpMR.jpg:large)TrendMicroNTWsparcieTrendMicro(https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates)

Jeśli antywirus nie jestwspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestrunie został jeszcze ustawiony, a producent dał znać, że dostosowałswój produkt do zmian w architekturze pamięci Windowsa, możnaspróbować wymusić instalację KB4056892 ręcznie.

bDZPKUuB

W ten celu należy do Rejestru dodać odpowiedni klucz. Jegolokalizacja toHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat,nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD awartość to 0x00000000.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bDZPKUvr