Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa

Wydana w tym tygodniu przez Microsoft łatka KB4056892uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięcikernela przez zwykłą aplikację. Uodpornienie wiąże się jednak zogromnymi zmianami w architekturze pamięci, nie dziwcie się więc,jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci.Winę w tym wypadku może ponosić program antywirusowy.

Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa

Najnowsza łatka wprowadza do Windows 10 wersji 1709 pozastosowaniu łatki rozwiązanie analogiczne do tego, co znamy zLinuksa (KPTI),całkowicie oddzielając od siebie pamięć kernela i pamięćprzestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, ipodobnie jak KPTI dokładnie czyści też bufor TLB (translationlookaside buffer), czyli pamięć podręczną mikroprocesora, wktórej przechowywane są fragmenty tablicy stron pamięcioperacyjnej komputera. Jak to wygląda w praktyce przedstawiłostatnio badacz Alex Ionescu w swoim tweecie:

Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1

— Alex Ionescu (@aionescu) November 14, 2017Wszyscy ci, którzy pospieszyli się z instalowaniem jaknajszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniemwcześniej ostrzeżeńdla wszystkich tych, którzy korzystają z antywirusa innego niżWindows Defender.

Problem wynika z tego, że nagle wiele zachowań antywirusówstało się „nielegalnych” – wywołań bezpośrednio do pamięcikernela Windowsa. Takie zaś wywołania kończą się zwykleniebieskim ekranem śmierci i niemożliwością uruchomieniasystemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolationpowinna zostać pobrana i zainstalowana tylko na tych komputerach, naktórych antywirusy zostały wcześniej zaktualizowane i umieściłyspecjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku tozadziałało, albo użytkownicy na własną rękę wymusiliinstalację łatki – a później patrzyli na piękny niebieskiekran.

Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziłajuż większość popularnych producentów antywirusów – szczegółyznajdziecie w poniższej tabelce.

ProducentKluczwrejestrzeWsparciedlaASLR/VAWięcejinformacji
AVASTTTForumAvasta(https://forum.avast.com/index.php?topic=212648.msg1439270#msg1439270)AviraTTForumWildersecurity(https://www.wilderssecurity.com/threads/bork-tuesday-any-problems-yet.370217/page-147#post-2728947)BitDefenderNNWsparcieBitDefender(https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018)ESETTT\r\nF-SecureTTSpołecznośćF-Secure(https://community.f-secure.com/t5/F-Secure-SAFE/F-Secure-SAFE-and-KB4056892/m-p/103474)G-DATANN\r\nKasperskyTTWsparcieKasperskyLab(https://support.kaspersky.co.uk/14042)MalwarebytesTTBlogMalwarebytes(https://blog.malwarebytes.com/security-world/2018/01/meltdown-and-spectre-what-you-need-to-know/)McAfeeNTBazawiedzyMcAfee(https://kc.mcafee.com/corporate/index?page=content&id=KB90167)MicrosoftTT\r\nNortonTT\r\nSophosNTSpołecznośćSophos(https://community.sophos.com/kb/en-us/128053)SymantecTTTwitter(https://pbs.twimg.com/media/DSsRaXBVoAEDpMR.jpg:large)TrendMicroNTWsparcieTrendMicro(https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates)

Jeśli antywirus nie jestwspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestrunie został jeszcze ustawiony, a producent dał znać, że dostosowałswój produkt do zmian w architekturze pamięci Windowsa, możnaspróbować wymusić instalację KB4056892 ręcznie.

W ten celu należy do Rejestru dodać odpowiedni klucz. Jegolokalizacja toHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat,nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD awartość to 0x00000000.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (191)