Предупреждение: даже если Вы установили исправления из Центра обновления Windows, то Ваш компьютер может быть не полностью защищен от уязвимостей процессора Meltdown и Spectre. Вот как проверить, полностью ли Вы защищены.
Чтобы полностью защититься от Meltdown и Spectre, Вам необходимо установить обновление UEFI или BIOS от производителя Вашего ПК, а также различные программные патчи. Эти обновления UEFI содержат новый микрокод процессора Intel, который добавляет дополнительную защиту от этих атак. К сожалению, они не распространяются через Центр обновления Windows, если только Вы не используете устройство Microsoft Surface, поэтому их необходимо загрузить с веб-сайта производителя и установить вручную.
Как проверить, защищен ли Ваш компьютер
Microsoft предоставила скрипт PowerShell, который быстро скажет Вам, защищен ли Ваш компьютер или нет. Для его выполнения потребуется командная строка, но процесс прост. Нам хотелось бы, чтобы была графическая утилита, но это единственный инструмент, который предоставляет Microsoft.
Если Вы используете Windows 7, то Вам сначала нужно загрузить программное обеспечение Windows Management Framework 5.0, с которым будет установлена более новая версия PowerShell в Вашу систему. Скрипт, описанный ниже, будет работать без него. Если Вы используете Windows 10, то у Вас уже установлена последняя версия PowerShell.
Введите в окно поиска «Windows PowerShell» и нажмите правой кнопкой на найденную утилиту и выберите «Запуск от имени администратора».
Введите следующую команду в PowerShell и нажмите Enter, чтобы установить скрипт в Вашу систему.
Если Вам будет предложено установить поставщика NuGet, введите «y» и нажмите «Enter». Вам также может потребоваться снова ввести «y» и нажать «Enter», чтобы доверять хранилищу программного обеспечения.
Стандартная политика выполнения не позволит Вам запустить этот скрипт. Итак, чтобы запустить скрипт, сначала сохраните текущие настройки, чтобы впоследствии их восстановить. Затем вы измените политику выполнения, чтобы скрипт мог работать. Для этого выполните следующие две команды:
Введите «y» и нажмите Enter, когда у Вас попросят подтверждение.
Затем, чтобы запустить сценарий, выполните следующие команды:
Вы увидите информацию о том, имеет ли Ваш компьютер соответствующую аппаратную поддержку. В частности, Вам нужно искать две вещи:
- «Windows OS support for branch target injection mitigation» относится к обновлению программного обеспечения от Microsoft. Оно должно присутствовать для защиты от атак Meltdown и Spectre.
- «Hardware support for branch target injection mitigation» относится к обновлению прошивки UEFI/BIOS, которое Вам потребуется от производителя Вашего ПК. Оно должно присутствовать, чтобы защитить от определенных Spectre атак.
Итак, на скриншоте ниже команда сообщает мне, что у меня нет патча Windows и нет обновления UEFI/BIOS.
Эта команда также показывает, имеет ли Ваш процессор аппаратную функцию оптимизации PCID, что делает исправление более быстрым. У Intel Haswell и более поздних процессоров есть эта функция, в то время как более старые процессоры Intel не поддерживают эту аппаратную поддержку и могут стать более производительными после установки этих исправлений.
Чтобы сбросить политику выполнения до исходных настроек после завершения, выполните следующую команду:
Введите «y» и нажмите Enter, когда будет предложено подтвердить.
Как получить патчи в обновлении Windows для ПК
Если «Windows OS support for branch target injection mitigation is present» имеет значение false, это означает, что Ваш компьютер еще не установил обновление операционной системы, которое защищает от этих атак.
Чтобы получить исправление в Windows 10, откройте «Параметры» > «Обновление и безопасность» > «Центр обновления Windows» и нажмите «Проверить наличие обновлений», чтобы установить доступные обновления. В Windows 7 перейдите в Панель управления > Система и безопасность > Центр обновления Windows и нажмите «Проверить наличие обновлений».
Если Вы используете систему с процессором AMD, Вы можете не увидеть обновление на данный момент. Данное обновление вызывает проблемы на некоторых компьютерах с некоторыми процессорами AMD, поэтому Microsoft «временно приостановила» выпуск обновлений всех систем с процессорами AMD. Вернитесь к обновлению в будущем.
Если обновлений не обнаружено, Ваше антивирусное программное обеспечение может вызвать проблемы, поскольку Windows не будет устанавливать его, если Ваше антивирусное программное обеспечение еще не совместимо. Обратитесь к поставщику антивирусного программного обеспечения и попросите дополнительную информацию о том, когда их программное обеспечение будет совместимо с патчами Meltdown и Spectre в Windows. В этой таблице показано, какое антивирусное программное обеспечение было обновлено для совместимости с патчем.
Как получить обновление UEFI/BIOS для Вашего ПК
Если «hardware support for branch target injection mitigation» имеет значение false, то Вам необходимо получить прошивку UEFI или обновление BIOS от производителя Вашего ПК. Поэтому, если у Вас есть компьютер Dell, например, перейдите на страницу поддержки Dell для Вашей модели. Если у Вас есть компьютер Lenovo, отправляйтесь на веб-сайт Lenovo и ищите свою модель. Если Вы собрали свой компьютер сами, то перейдите на сайт производителя материнской платы.
После того, как Вы найдете страницу поддержки своего ПК, перейдите в раздел «Загрузка драйверов» и найдите новые версии прошивки UEFI или BIOS. Вам потребуется обновление прошивки за «декабрь/январь 2018 года» от Intel. Если прошивка еще не доступна, то попробуйте проверить ее наличие позднее. Производителям необходимо выпустить отдельное обновление для каждой модели ПК, которую они выпустили, поэтому эти обновления могут занять некоторое время.
После того как Вы скачали обновление, следуйте инструкциям в readme, чтобы установить его. Обычно это включает в себя установку файла обновления на флэш-накопитель, а затем запуск процесса обновления с Вашего интерфейса UEFI или BIOS, но процесс будет отличаться от ПК к ПК.
Intel заявляет, что выпустит обновления для 90% процессоров, выпущенных за последние пять лет, к 12 января 2018 года. Но, после того, как Intel выпустит эти обновления процессора, производители все равно должны их упаковать и распространить для Вас. Неясно, что произойдет со старыми процессорами.
После того, как Вы установили обновление, Вы должны проверить, включено ли исправление, снова запустив установленный сценарий. Он должен показать «Hardware support for branch target injection mitigation» как «true».
Вам также необходимо обновить браузер (и, возможно, другие приложения)
Обновление Windows и обновление BIOS — это не единственные два обновления, которые Вам нужны. Например, Вам также потребуется обновить Ваш веб-браузер. Если Вы используете Microsoft Edge или Internet Explorer, этот патч включен в обновления Windows. Для Google Chrome и Mozilla Firefox Вам необходимо убедиться, что у Вас установлена последняя версия — эти браузеры автоматически обновляются самостоятельно, если Вы ничего не делали, чтобы изменить это, поэтому большинству пользователей не придется ничего делать. Исправления доступны в Firefox 57.0.4, который уже выпущен. Google Chrome получит исправления, в версии Chrome 64, которую планируется выпустить 23 января 2018 года.
Браузеры — это не единственное программное обеспечение, которое необходимо обновить. Некоторые аппаратные драйверы могут быть уязвимы для атак Spectre и нуждаются в обновлениях. Любое приложение, которое интерпретирует ненадежный код, например, как веб-браузеры интерпретируют код JavaScript на веб-страницах, нуждается в обновлении для защиты от атак Spectre. Это еще одна веская причина постоянно обновлять все Ваше программное обеспечение.