Несколько дней назад компания Microsoft выпустила внеочередное обновление для защиты от уязвимостей Meltdown/Spectre, которым подвержены компьютеры и мобильные устройства с процессорами Intel, AMD и ARM. В системах на базе процессоров AMD патч KB4056892 вызвал серьезные сбои в работе — после его установки компьютер может перестать загружаться, выводя на экран лишь логотип Windows. Кроме того, обновление вступает в конфликт с рядом антивирусов и защитных решений.

Напомним, что уязвимости Meltdown и Spectre обнаружил в начале января Дженн Хорн (Jann Horn) из Google Project Zero. Обе бреши позволяют через атаку по стороннему каналу получить несанкционированный доступ к содержимому виртуальной памяти: проэксплуатировав Spectre, киберпреступник может считать данные программ, а при помощи Meltdown — содержимое памяти ядра.

Сразу после обнаружения уязвимостей представители AMD заверили, что риск эксплуатации брешей в их продуктах близок к нулю (причем Meltdown в принципе не может повлиять на их работу). Тем не менее, из-за Spectre патч для ОС на таких компьютерах также устанавливался, но вскоре после его выпуска пользователи по всему миру стали жаловаться на проблемы — на официальном сайте вопросов и ответов и форуме Microsoft, в социальных сетях и на других ресурсах. Чаще всего обновление вызывает проблемы на компьютерах с процессорами Athlon, Sempron, Opteron и Turion, хотя точный список подверженных ошибке систем пока неизвестен.

Пользователи отмечают, что после установки патча система безуспешно пытается загрузиться, и наконец выводит ошибку 0x800f0845. Обновление не предусматривает создания точки восстановления, так что откатить систему до рабочего состояния не получается.

Помимо проблем с процессорами AMD пользователи ОС Microsoft столкнулись с несовместимостью выпущенного обновления с антивирусными решениями сторонних разработчиков: в некоторых случаях конфликт приводил к ошибкам в работе защитных программ, в других — к появлению «синего экрана». По словам эксперта по кибербезопасности Кевина Бомона, это связано с тем, что в антивирусах используются техники обхода защиты ядра путем инъекции гипервизора, который позволяет перехватывать системные вызовы и предсказывать раcположение в памяти. Эти места в памяти изменяются при установке патча для Meltdown, что и приводит к бесконечным перезагрузкам и BSOD.

В связи с этими проблемами Microsoft приняла решение приостановить развертывание патча до готовности антивирусов, а позже —временно не передавать обновления на устройства с несовместимыми процессорами AMD, отметив, что работает над решением проблемы с производителем оборудования.

Компьютеры с антивирусными решениями сторонних разработчиков не получат патч до тех пор, пока эти решения не будут обновлены с учетом изменений. Большинство разработчиков антивирусов уже сделали свои продукты совместимыми с патчем KB4056892, однако в редких случаях — как правило, на устройствах без антивирусной защиты — для установки обновления требуется ручное изменение ключа системного реестра самим пользователем. Краткую инструкцию о том, как это сделать, Microsoft выложила у себя на портале техподдержки.

Судя по обсуждениям пользователей в Интернете, есть несколько способов вернуть в рабочее состояние компьютер, все же ставший жертвой обновления. Обладатели пострадавших компьютеров с Win7 могут попробовать реанимировать ОС при помощи загрузочного CD-диска и точки восстановления (при их наличии), пользователи других версий — использовать DISM (систему обслуживания и управления образами) или переустановить всю систему.

Update. 18 января Microsoft объявила, что возобновляет раздачу на AMD-устройства пяти из девяти патчей, призванных предотвратить атаки Spectre и Meltdown. По словам разработчика, проблемы, на которые жаловались пользователи, были решены совместными усилиями с AMD.

Ранее с целью исправления этой ситуации для Windows 7 и SP1 и Windows Server 2008 R2 SP1 было выпущено обновление KB4073578, корректирующее патч KB4056897 от 3 января (включенный в январский набор обновлений KB4056894). Для Windows 8.1 и Windows Server 2012 R2 вышло аналогичное обновление KB4073576 взамен KB4056898. Windows 10 версии 1709 (Fall Creators Update) и Windows Server 2016 (1709) получили обновление KB4073290 для решения проблемы с KB4056892. Все эти обновления можно установить через Windows Update или вручную, однако вначале придется откатить прежний, проблемный патч, если он был установлен.

17 января также появились накопительное обновление KB4057144 для Windows 10 версии 1703, доступное для установки вручную, и аналогичный пакет KB4057142 для Windows 10 версии 1607, установка которого, по словам Microsoft, может вызвать «неожиданный рестарт» сервера с включенным Credential Guard (компонентом Windows Defender).

Категории: Главное, Уязвимости