Menu

Ochrana proti mezerám Spectre a Meltdown

Jak nezvládnout bezpečností problémy, demonstruje v poslední době společnost Intel a spol. v podobě chaosu se záplatami pro hardwarové mezery v procesorech. Bude lepší, když si poradíte sami. 

Co je ještě horší než neopravená bezpečnostní mezera? Údajný bezpečnostní update, který paralyzuje počítač. Právě to se stalo, když se společnost Intel pokoušela záplatovat hardwarové mezery ve svých vlastních procesorech. Nicméně jde jen o jeden z problémů týkajících se mezer nazvaných Spectre a Meltdown, které nás od začátku tohoto roku udržují v napětí. Zahrnuje i protichůdné informace o bezpečnostních mezerách poskytovaných společností AMD, velké ticho z tábora Android a updaty systému Windows, které kolidují s antivirovými skenery. Znepokojeni jsou uživatelé v podstatě po celém světě, protože touto chybou je ovlivněn téměř každý počítač. Máme pro vás tipy, jak se správně chránit.

Updaty Windows proti Meltdownu

Největším problémem bezpečnostních záplat je to, že bezpečnostní hrozbu nevyřešíte snadno jedním updatem systému. Do tohoto procesu totiž musí být zapojení výrobci hardwaru a také vývojáři operačního systému a řadičů. Nicméně náš první tip zní velmi jednoduše: spusťte na svém počítači Windows update a nainstalujte nejnovější aktualizace.

Kontrola zabezpečení

Pokud jde o bezpečnostní mezery Spectre a Meltdown, k dispozici jsou různé nástroje, pomocí kterých můžete zkontrolovat svůj počítač z hlediska jeho zranitelnosti. Kromě updatu Windows byste je měli pro jistotu použít. Nejjednodušší z nich je Spectre Meltdown CPU Checker od společnosti Ashampoo, který si můžete stáhnout na stránce jdem.cz/ dzdhp2. Po jeho spuštění stačí kliknout na »Start security check« a provede se systémová kontrola a nástroj po několika vteřinách zřetelně označí, zda váš systém je či není zranitelný na chyby Spectre a Meltdown. Pokud už jste provedli aktualizaci systému Windows, jak bylo popsáno výše, váš systém už by neměl být zranitelný na Meltdown a většinou ani na Spectre. Slabé stránky nástroje od Ashampoo jsou ale zjevné: neposkytuje žádné podrobnější informace o instalovaných nebo neproběhlých aktualizacích systému, i když by nebyl problém je z Windows získat. Ověření si ale můžete provést sami pomocí kontrolního modulu PowerShell, který se jmenuje SpeculationControl a který pochází přímo od Microsoftu. Je to však operace pro zkušenější uživatele, kteří se nebojí příkazového řádku. Instalace vyžaduje několik kroků v PowerShellu s právy správce. Pokud se do toho chcete pustit, postupně spusťte v PowerShellu systému Windows následující čtyři příkazy. V krocích 1 a 2 potvrďte dotaz pomocí [Y] jako Yes, případně [A] jako Yes to All.

1 Install-Module SpeculationControl
2 Set-ExecutionPolicy RemoteSigned -Scope Currentuser
3 Import-Module SpeculationControl
4 Get-SpeculationControlSettings

Výsledek se zdá na první pohled komplikovaný (viz obrázek vpravo), nicméně společnost Microsoft k němu podává kostrbaté (strojově přeložené) vysvětlení na stránce support. microsoft.com/cs-cz/help/4074629/understanding-the-outputof-get-speculationcontrolsettings-powershell, případně se přepněte na původní text v angličtině na jdem.cz/dzezz2. Důležité ale je, aby se vám po kontrole zobrazil zelený text »Windows OS support for branch target injection mitigation is present: True«. Ukazuje to totiž, že máte nainstalovanou bezpečnostní záplatu společnosti Microsoft. V systému Windows už žádné další kroky podnikat nemusíte, v některých případech ale budete muset aktualizovat BIOS.

Aktualizace BIOS se špatně hledají

Jen málo uživatelů se zajímá o to, zda mají aktualizovaný BIOS, a to i v případě, že o jiné aktualizace se zajímají. Problém spočívá v tom, že výrobci počítačů, notebooků a základních desek řeší aktualizaci BIOS různě a často není uživatelsky jednoduchá a automatická. Společnost Intel poskytuje informace o updatech na stránce intel.ly/2BsCYME a AMD má hlavní aktuální informace na stránce bit.ly/2G9vcq3.

Nicméně na těchto stránkách žádné aktualizace pro svůj počítač nenajdete. Pokud jste si postavili počítač sami, za aktualizace BIOS je zodpovědný výrobce základní desky, a aktualizovaný BIOS hledejte tedy na jeho webových stránkách. Naše náhodné testy stránek však vedly k rozčarování. Téměř žádný výrobce totiž neposkytuje aktualizace BIOS. Důvodem je to, že výrobci procesorů často s výrobci základních desek nespolupracují. 12. ledna tohoto roku začal Intel distribuovat aktualizaci mikrokódu procesorů, což je něco jako firmware procesoru, ale hned o deset dní ji musela stáhnout kvůli chybám. Takže uživatelé, kteří byli aktivní a rychle upgradovali BIOS, se dostali do problémů. Nyní už je situace stabilizovaná, takže pokud je pro vaši základní desku nový BIOS k dispozici, instalujte ho.

Aktualizace ovladačů a programů

Když už jste na stránkách výrobce, podívejte se, zda není k dispozici aktualizace ovladačů základní desky a dalších komponent. Zranitelné jsou především grafické karty. Co se týká bezpečnostních mezer Spectre a Meltdown, důležitá je i aktualizace softwarového vybavení a platí ho hlavně pro internetové prohlížeče. Zda je váš prohlížeč už aktualizovaný o odolný proti těmto chybám, si můžete otestovat na adrese bit.ly/2CkjV3T. Nenechte se zmást čínskými znaky a klikněte na „Click to Check“. Nejznámější prohlížeče, tedy Chrome, Firefox, Edge, Internet Explorer nebo Opera, už příslušné záplaty mají, takže pokud testem neprojdete, prohlížeč hned aktualizujte. Spectre a Meltdown mohou být problémem i pro další programy, takže si zkontrolujte, zda používáte nejnovější verze. Pomůže vám s tím například nástroj Software Update Monitor (SUMo).

Jasný případ s iOS, nejistota u Androidu

Pokud máte na iPhonu nebo iPadu nainstalovanou aktualizaci systému iOS 11.2, máte základní ochranu zařízení vyřízenou. Nicméně to znamená i to, že pokud vaše zařízení Apple už nepodporuje iOS 11, žádnou ochranu nemáte. Situace u Androidu je komplikovanější. Společnost Google totiž opravila pouze aktuální verzi operačního systému Android. Zda se ale oprava dostala i do vašeho smartphonu, je samozřejmě otázka. Záleží na výrobci i konkrétním modelu. Jaká je situace u vašeho smartphonu, si můžete ověřit na stránce bit.ly/2BrW6KK, případně se můžete obrátit na výrobce.

Foto popis| Bezpečnostní chyby Spectre a Meltdown si získaly pozornost už začátkem roku. Zde jsou nejdůležitější události.
Foto popis| Jednoduchý test Ashampoo Spectre Meltdown CPU Checker zjistí, jak je na tom váš počítač s ochranou proti bezpečnostním mezerám.
Foto popis| Komplikovanější PowerShell: Testovací nástroj Microsoftu je nepřehledný. Důležitá je pouze položka, která zobrazuje, zda je váš systém Windows skutečně aktuální a zabezpečený.
Foto popis| Test prohlížeče: Svůj internetový prohlížeč můžete ověřit on-line testem Tencent.
Foto popis| Pokud máte zařízení Applu, nainstalujte si iOS 11.2 a vyšší. Jak je na tom váš telefon s Androidem, si můžete ověřit na stránce bit.ly/2BrW6KK.

O autorovi| JÖRG GEIGER, autor@chip.cz


Příbuzná témata: