Archives For Microsoft Windows 7

Filtrando il tag dedicato al Sysprep ti troverai davanti a diversi articoli che parlano di questa pratica e dei vari problemi riscontrati nel corso delle versioni di Windows. Sysprep è un tool tanto bello quanto potenzialmente stronzo (sì, tanto per chiarire subito le cose), molto suscettibile e per certi versi delicato. L’ho imparato ancora una volta con Windows 10 1709, versione attualmente stabile del sistema operativo di Microsoft che verrà presto sostituita dalla Spring Update 2018 (1803).

Quello di oggi vuole essere il solito articolo “blocco appunti“, da rispolverare in caso di necessità (che magari torna utile anche a te che sei finito su questi lidi, non si sa mai).

Reinstallare Windows OEM quando il supporto di Recovery non c'è 7

Sysprep con Windows 1709

Da cosa partivo

Ti faccio il punto della situazione: con diversi modelli di PC Desktop e Laptop distribuiti all’interno del gruppo, siamo soliti tenere delle immagini master che possiamo facilmente clonare quando occorre preparare nuove postazioni, così da risparmiare tempo ed evitare facili errori dovuti alla distrazione. In questo modo ogni macchina è uguale all’altra (di base, con personalizzazioni software solo se giustificate e realmente necessarie).

La base di partenza era l’immagine di una nostra macchina con Windows 10 1703 (la Creators Update), pulita quanto basta, senza la robusta quantità di applicazioni installate da Store e con un parco software di terza parte “stretto indispensabile“. Chiaramente ho le immagini pre-sysprep da lavorare / modificare e chiudere all’occorrenza per la clonazione.

Cosa volevo ottenere

Un’immagine con upgrade in-place a 1709, perché quella 1703 era nata da zero, potevo quindi permettermi il lusso di lavorare su un aggiornamento anziché rifare tutto nuovamente da zero.

Cosa ho scoperto

Che –come già successo in passato– ci sono alcune accortezze da non lasciarsi sfuggire, perché comprometterebbero la corretta chiusura dell’immagine di sistema, particolare affatto simpatico dopo ore di lavoro. Sì perché c’è di mezzo ancora una volta l’installazione automatica di applicazioni UWP da parte dello Store (non richieste), suggerimenti (anch’essi non richiesti) e tutto ciò che in generale è legato alla chiave AutoDownload in HKLM\NewOS\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate e alla DisableWindowsConsumerFeatures in HKLM\Software\Policies\Microsoft\Windows\CloudContent.

Puoi trovare diverse informazioni in merito a questi argomenti su alcuni siti web di terza parte e su GitHub (dove ho trovato diversi spunti validi dedicati agli upgrade via SCCM, adattabili anche a utilizzi “one-shot” da chiave USB o rete:

A voler bloccare le installazioni non richieste su una macchina collegata in rete, che stai lavorando per aggiornare l’immagine “master” (pratica comunemente sconsigliata, proprio perché porta con sé rischi legati ad aggiornamenti che si scaricano e installano senza dirti nulla), potresti pensare di agire direttamente via batch sul registro:

:BloccoUpdate
:: Disable Windows Store Updates
:: 2 = always off
:: 4 = always on
REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate /v AutoDownload /t REG_DWORD /d 2 /f
:: Disable Consumer Experience
:: 1 = Off (disabled)
:: 0 = On (enabled)
REG ADD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent /v DisableWindowsConsumerFeatures /t REG_DWORD /d 1 /f

Fai ora tutto quello di cui hai bisogno: aggiorna le applicazioni, aggiorna Windows, ritocca ciò che più ritieni opportuno, quindi grazie all’aiuto dell’Assistente aggiornamento Windows fai upgrade a 1709 e completa le prime operazioni necessarie. Quando sarai pronto, fai partire il Clean Manager per pulire i file non necessari sul disco del sistema, poi utilizza il mio script di PowerShell per togliere tutto l’inutile da Windows 10 (vedi qui) e rimetti a posto le chiavi di registro che hai precedentemente ritoccato:

:SbloccoUpdate
:: Disable Windows Store Updates
:: 2 = always off
:: 4 = always on
::REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate /v AutoDownload /t REG_DWORD /d 4 /f
:: Disable Consumer Experience
:: 1 = Off (disabled)
:: 0 = On (enabled)
REG ADD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent /v DisableWindowsConsumerFeatures /t REG_DWORD /d 0 /f

A questo punto, salvo ulteriori problemi, sei pronto a chiudere l’immagine master e lanciare il Sysprep. È qui che potresti avere a che fare con un errore dovuto a MiracastView, sto finendo un articolo ad-hoc che verrà pubblicato nei primi giorni della prossima settimana (presumibilmente martedì), per dare continuità a quanto raccontato con questo pezzo.

Upgrade in-place verso Windows 1709

Ho perso il conto di quante macchine (sia aziendali che private) ho aggiornato senza il benché minimo problema a Windows 1703 (e prima ancora a 1607, nda). Con Windows 1709, almeno negli ultimi tempi, le cose non sono andate proprio nella stessa maniera. Su più configurazioni (macchine di diversi vendor) ho sempre sbattuto il muso contro un vicolo cieco oltre il quale non sono mai riuscito ad andare: quello del controllo pre-verifica spazio disco.

Appunti sparsi su Windows 10 1709, Sysprep e Upgrade in-place 3

Non sono stato il solo a scontrarmi con la dura realtà, sono in ottima compagnia: google.com/search?q=making+sure+you%27re+ready+to+install (e qui un thread a caso sul forum di Microsoft: answers.microsoft.com/en-us/windows/forum/windows_10-windows_install/upgrading-to-windows-10-stuck-at-making-sure-youre/0386fe6e-1570-45e3-b560-03512026e196).

Per fartela breve, perché immagino tu non voglia perdere lo stesso tempo che ho perso io, il metodo certamente funzionante è quello del doppio salto. Utilizzare quindi una chiave USB con a bordo Windows 1703, la quale riuscirà a effettuare l’upgrade dell’OS portandolo a Windows 10, per poi saltare internamente (tramite Assistente aggiornamento Windows) a Windows 1709.

Creare un supporto d’installazione Windows 1703

L’immagine di Windows 1703 è ritenuta vecchia e superata, e per questo motivo è un pelo più difficile trovarla (neanche tanto eh, ma di certo non è più così in bella vista). Per scaricarla, puoi appoggiarti a windowsiso.net, sito web che raccoglie lo storico delle installazioni Windows (da 7 in poi). Per andare al dunque, puoi puntare il browser all’indirizzo windowsiso.net/windows-10-iso/windows-10-creators-update-1703-download-build-15063/windows-10-creators-update-1703-iso-download-standard e scegliere lingua e architettura (x86 italiana, x64 italiana), se ci fai caso, i collegamenti sono diretti a server Microsoft, si tratta di immagini pulite e senza rischi (dovrai giusto sopportare la pubblicità all’interno del sito web e al clic del tasto Download, se non usi Adblock).

Diversamente, potresti seguire quanto spiegato sul forum Microsoft, senza passare da siti web di terze parti (procedura da me provata e perfettamente funzionante): answers.microsoft.com/en-us/windows/forum/windows_10-windows_install-winpc/how-to-download-official-windows-10-iso-files/35cde7ec-5b6f-481c-a02d-dadf465df326.

Una volta scaricata l’immagine, potrai appoggiarti a uno dei tanti tool esistenti per la creazione di chiavi USB installabili. Io, dato che lo avevo già tra le mani, ho usato il vecchio “Strumento di download in USB/DVD per Windows 7“, che al contrario del nome non è assolutamente limitato alla creazione di supporti per l’installazione del vecchio OS Microsoft, digerisce qualsiasi ISO. Si trova facilmente sui server di Microsoft (microsoft.com/it-it/download/windows-usb-dvd-download-tool e microsoft.com/en-us/download/details.aspx?id=56485),ma ne ho caricato anche una copia completa (fatta di URL ed eseguibili nelle varie lingue) nel mio spazio Box: app.box.com/s/r3j2rmcxl7nysazehfn8mvq2egqnltty.

Hai ora il file ISO e il tool per poter proseguire, cerca una memoria USB sufficientemente capiente (maggiore di 4 GB, nda).

Apri l’utility di Microsoft e seleziona il file ISO precedentemente scaricato, quindi procedi per poterlo andare a copiare su chiave USB e ottenere il tuo supporto per l’installazione su qualsiasi macchina (impiegherà un po’ di tempo al termine del passaggio 4, porta pazienza).

A lavoro terminato, espelli la chiave USB e utilizzala sul sistema che intendi migrare a Windows 10.

In conclusione

Spero di non aver dimenticato nulla per strada, mal che vada modificherò prossimamente l’articolo per integrare ciò che può mancare all’appello. Se hai dubbi in merito a quanto spiegato, lascia pure un messaggio in area commenti, cercherò di darti una mano se ne sarò in grado. Considera che -spero ormai a stretto giro- sarà disponibile per tutti Windows 1803, che potrebbe correggere gli ultimi problemi mostrati dall’upgrade in-place del 1709 facendoci risparmiare così tempo e imprecazioni (lo spero).

Per quanto riguarda l’argomento Sysprep, se hai ulteriori suggerimenti da integrare sei sempre il benvenuto, più informazioni ci si scambia, meglio è :-)

Buon lavoro!


ulteriori riferimenti: Andre Da Costa mantiene costantemente aggiornata una discussione / guida nel forum di Microsoft, sui vari passaggi necessari per aggiornare Windows 10 (nelle più disparate modalità), la trovi all’indirizzo answers.microsoft.com/en-us/windows/forum/windows_10-windows_install-winpc/how-to-upgrade-to-windows-10-version-1709-fall/617a37da-8fc0-4f33-a3eb-59fe9082f925

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Una manciata di giorni fa un collega di lavoro mi ha chiesto una mano per cercare qualcosa in grado di facilitargli la vita e accorciare i tempi necessari alla digitazione di testo ripetitivo. Dopo alcune rapide ricerche di base, mi sono imbattuto in Texter, un’applicazione sviluppata anni fa ma che ancora oggi svolge un ottimo lavoro (che quindi merita un piccolo posto nel blog, soprattutto in caso di futura necessità :-)).

Utility: Texter (Windows)

Il codice è di Adam Pash (Lifehacker) e di vecchiaia sulle spalle ne ha abbastanza (l’applicazione è stata pubblicata nel 2007), trovi i sorgenti su GitHub. Puoi scegliere di installare Texter o scaricarlo e iniziare a utilizzarlo al pari di una qualsiasi applicazione portable, si comporta bene anche su Windows 10 (nonostante all’epoca ci fosse Windows XP, tanto per dire). Utilizzare l’applicazione è talmente banale che non credo sia necessario spiegarlo, ma se necessario puoi fare riferimento all’articolo originale, disponibile su Lifehacker all’indirizzo lifehacker.com/238306/lifehacker-code-texter-windows.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Già con Windows 7, Microsoft ha fatto passi da gigante in materia di deframmentazione dei dati automatizzata, pulizia e ottimizzazione dello spazio disco utilizzato per i suoi file e per quelli che scarica nel corso della sua “vita“, eppure ci sono ancora delle corde di violino parecchio tese quando si tira in ballo lo spazio disco residuo e la necessità di trovarne un po’ per qualcosa di personale, della quale abbiamo assoluta necessità. La C:\Windows\Installer fa parte di quelle cartelle viste di cattivo occhio quasi da chiunque, quando si ricerca quello “spazio mancante“.

SSD HDD C:WindowsInstaller troppo grande, perché?

Il problema è figlio della nuova generazione SSD, perché –siamo seri– credo poco al fatto che tu, con un disco meccanico da un tera o più, ti sia mai posto il problema delle cartelle di Windows ingrassate dopo le feste. Un disco SSD, anche visto il costo, viene generalmente acquistato in taglio più limitato, con i 256 GB che vanno per la maggiore e che lasciano solo ultimamente spazio ai 500 GB, perché il tera è ancora inaccessibile per molti (la media prezzo si aggira intorno ai 300 euro, nda).

Ciò detto, perché la cartella C:\Windows\Installer è così ben nutrita? L’articolo è vecchio ma è ancora tutt’oggi valido, ti propongo questo passaggio:

Along the same lines as removing items from the Windows component store to save space, we have recently seen a couple of questions come in about the Windows\Installer directory. This is a hidden system directory; it is used by the Windows Installer service to cache installer data files for various applications. Over time, this directory will grow and can eventually take up an amount of space that might cause pressure on thinly provisioned storage, such as virtual hard disks.

blogs.technet.microsoft.com/joscon/2012/01/18/can-you-safely-delete-files-in-the-windirinstaller-directory

Lo stesso articolo risponde anche alla domanda che viene da porsi pressoché immediatamente: posso cancellare i file all’interno di quella cartella? La risposta semplice e concisa è no. Quel no può diventare un “ni” dopo un paio di operazioni, di cui una assolutamente contemplata dal sistema operativo.

Clean Manager

Esegui il Clean Manager integrato di Windows (tasto Windows + R, scrivi cleanmgr e premi invio, oppure entra in Computer, tasto destro sul disco C: → ProprietàPulizia disco). Nella schermata che ti si presenterà a video, potrai scegliere di passare alla pulizia avanzata (detta Pulizia file di sistema), la quale permetterà di mettere mano anche a quegli aggiornamenti che è possibile cancellare dal disco in tranquillità. Per capirci, questa è una rapida occhiata alla situazione della mia macchina Windows:

Come tu stesso puoi notare, la differenza tra il calcolato in cartella e quello cancellabile c’è, ma si tratta di poca roba, superiore alla cartella C:\Windows\Installer perché evidentemente ci ricade dentro anche dell’altro che è possibile rimuovere. Scegli cosa cancellare, quindi procedi e recupera quello spazio che potrebbe tornarti utile per altro.

Il Clean Manager integrato di Windows può inoltre essere pilotato via PowerShell. Ho trovato alcuni riferimenti utili in merito che ho poi messo in pratica per verificare la bontà dell’automatizzazione. Parti dando un’occhiata a questo articolo (mentre qui trovi un riferimento ufficiale nei documenti di supporto Microsoft). Il risultato, appena modificato rispetto alla proposta di Greg Ramsey, permette di portare a termine il lavoro su Windows 7, 8 (quindi 8.1) e 10, l’ho pubblicato su Gist.

L’alternativa: PatchCleaner

Tool gratuito disponibile sulla pagina ufficiale homedev.com.au/Free/PatchCleaner, permette di spostare o cancellare definitivamente le patch che popolano la cartella C:\Windows\Installer, ma anche di cercare file orfani che sono stati abbandonati al loro destino, completamente ignorati anche da Windows e dal suo Clean Manager. Disponibile anche in versione Portable (su SourceForge), accetta anche comandi da prompt (così può essere integrato e richiamato all’interno di altri script). Trovi qui le risposte ad eventuali domande o errori che potresti notare durante l’utilizzo dell’applicazione.

Quello che ti consiglio di fare, nel caso in cui tu abbia a disposizione un disco meccanico interno o esterno al PC, è di spostare e tenere lì le patch per qualche tempo, prima di scegliere di eliminarle definitivamente. Questo perché, in caso di anomalie di sistema, potrai facilmente ripristinare i file spostati sempre tramite PatchCleaner, andandoli a ripescare e portandoli là dove sono stati inizialmente memorizzati, per evitare di dover reinstallare un intero Windows solo per una distrazione o una necessità impellente di altro tipo.

In conclusione

Lo spazio disco (su memorie SSD) non è mai abbastanza, per questo motivo è opportuno effettuare una pulizia dei file inutilizzati / inutili (non sono la stessa cosa, nda) di tanto in tanto. Farlo con gli strumenti messi a disposizione da Windows è certamente la soluzione migliore, per evitare possibili problemi da dover poi analizzare e risolvere in seguito, ma in casi di emergenza c’è sempre qualche tool che può occuparsi del lavoro sporco, evitandoti facili errori di distrazione.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

So benissimo quello che stai pensando, che forse un rilascio a così stretto giro dall’altro (lo 0.2 è dello scorso 28 dicembre) è un tantino anomalo, e l’osservazione può anche starci. Il problema è che ho trovato un’anomalia strana per un programma di Microsoft (e più in generale per il suo sistema operativo), il bottone che scatena la macro per esportare i file PDF sul Desktop partendo da una o più mail da te selezionate, tiene conto della differenza tra “PDF” e “pdf, come stessimo parlando di case-sensitive.

SaveModule.bas 0.3 per Outlook 2016 (estrazione PDF dagli allegati)

Me ne sono accorto grazie alla segnalazione di un utente in ufficio, che riusciva a esportare correttamente file con estensione “pdf“, perdendo però per strada alcuni file che avevano come estensione un “.PDF” in maiuscolo. Pur faticando a credere a un case-sensitive prerogativa dei sistemi Unix-Like, ho modificato nuovamente lo script per adattarlo all’esigenza, e stavolta mi sono deciso a integrare il costrutto Case al suo interno, per sostituire l’If semplice che ha fatto fino a ora il suo dovere.

Cosa cambia?

Questo, nello specifico:

sFileType = LCase$(Right$(strFile, 4))

che dopo aver ottenuto il nome del file (strFile = sName & objAttachments.Item(i).FileName), va a estrapolarne le ultime 4 posizioni (in pratica il “.ext” dove ext è l’estensione del file) e fa partire un costrutto Case all’interno del quale si possono specificare più estensioni da portare fuori nella cartella degli Attachments:

Select Case sFileType
Case ".PDF", ".pdf"
 'Combine with the path to the Temp folder.
 strFile = strFolderpath & strFile
 'Save the attachment as a file.
 objAttachments.Item(i).SaveAsFile strFile
End Select

Il resto rimane, per evidenti motivi, invariato. Tu potrai tranquillamente aggiungere ulteriori estensioni di cui tenere conto ponendo un’ulteriore virgola dopo il “.pdf” e aggiungendo magari un formato immagine, per esempio Case ".PDF", ".pdf", ".png".

Ho già aggiornato gli script rilasciati via GitHub, compreso il modulo unico di salvataggio che integra la macro da attivare con il pulsante e la regola automatica di ingresso posta. Trovi qui il codice della macro con pulsante: gist.github.com/gioxx/b7b16bdd96d3541bdfb29b23ed1d7e1d, qui invece quello del modulo intero: gist.github.com/gioxx/1e703b56db11b6363e2d07f4b6617bd9. Ho aggiornato anche la cartella condivisa su Box nel caso tu voglia scaricare tutto il materiale in un solo colpo: app.box.com/s/5ksruqc3pi74fumkbt4wg3avb1f6tmzf.

Per modificare il comportamento del tuo Outlook, potrai semplicemente richiamare la combinazione ALT + F11 da tastiera (per aprire l’editor Visual Basic, nda), selezionare tutto il codice relativo al modulo di salvataggio, cancellarlo, copiare il nuovo codice da Gist e incollarlo, salvando poi la modifica. Il tutto sarà immediatamente operativo.

È giusto ricordare ancora una volta che anche in questa nuova versione del codice non posso fare nulla per le Shared Mailbox caricate in Auto-Mapping e senza copia cache locale su Outlook. Ciò vuol dire che se utilizzi le caselle di posta condivise collegandoti direttamente al server (basta togliere l’opzione “Scarica cartelle condivise” dalle opzioni avanzate del tuo account Exchange), non potrò salvare alcunché nella cartella sul tuo Desktop, perché in realtà quei PDF non esistono sul tuo hard disk, ma vengono scaricati secondo necessità quando fai doppio clic su di loro (o quando chiedi a Outlook di salvarli in una cartella specifica).

Al solito, l’area commenti è a tua totale disposizione per richiedere ulteriori informazioni o rispondere a qualche tuo dubbio. Puoi usare invece Gist per proporre modifiche o miglioramenti al codice.

Buon lavoro!


Immagine di copertina: Caspar Rubin on Unsplash
Condividi l'articolo con i tuoi contatti:

Che poi capisci che si tratterà di un anno scoppiettante e frizzantino già da ciò che accade nei primi giorni dell’anno. E mentre l’Italia si indigna pesantemente per il centesimo di costo richiesto per il sacchetto “biodegradabile” del supermercato (qui qualche informazione in più), tutto il resto del mondo (e credo anche la pressoché totalità di figure informatiche nostrane) ha di meglio a cui dedicare poltrona e pop-corn, buon anno a te da #Meltdown e #Spectre!

#Meltdown e #Spectre: buon 2018!

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

meltdownattack.com

Avevo pubblicato gli auguri di buon anno così sulla pagina Facebook del blog, e nonostante la gravità dei fatti forse molti non si erano ancora accorti della reale portata, distratti dall’ultima fetta di panettone accompagnata da chissà quale Brut servito ghiacciato.

Di come Meltdown e Spectre possano essere parecchio pericolosi per la privacy dei nostri dati ne hanno già abbondantemente parlato tutti, chi più, chi meno approfonditamente (con e senza grossolani errori), la fazione di clienti possessori AMD sta già -inutilmente- esultando, quello che voglio fare io è semplicemente raccogliere una serie di link verso quegli articoli e approfondimenti già pubblicati, che raccontano in maniera giusta qual è il problema. Continuerò ad aggiornare questa “rassegna” aggiungendo –se necessario– osservazioni e spunti di discussione, perché sono certo che ogni collega lì fuori sta facendo tutto tranne che sorridere o esultare per l’arrivo di questo nuovo anno all’insegna dell’ennesimo bug di sicurezza che assomiglia più a una voragine senza fondo! (e qui ci sta particolarmente bene questo tweet).

Meltdown / Spectre Attack: di cosa si tratta

5/1/18

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. In the coming days they plan to release mitigations in Safari to help defend against Spectre. They continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Meno tecnicamente parlando

Sì, ma in italiano?

19/1/18

Salvatore “antirez” Sanfilippo ha spiegato Meltdown e Spectre con una storia che potrebbe probabilmente capire anche tua nonna: medium.com/@antirez/spectre-e-meltdown-spiegati-al-mio-idraulico-cd4567ce6991

View story at Medium.com

5/1/18

La Stampa Tecnologia, Le falle nei processori: cosa c’è da sapere (Carola Frediani ha redatto un articolo che spiega in maniera molto semplice gli attacchi Meltdown e Spectre: lastampa.it/2018/01/05/tecnologia/news/le-falle-nei-processori-cosa-c-da-sapere-aLahTrrACHKgaVUTXbcevM/pagina.html

Sistemi / Software e patch

Partendo dal presupposto che sai benissimo (forse) che su Linux mi muovo poco e nulla, in ufficio ovviamente si parla dell’argomento a 360 gradi (abbiamo ogni OS client / server). Qualche riferimento più orientato al mio mondo (Microsoft / macOS), a quello della virtualizzazione (VMware) e al browser (sempre più strumento principe di ogni giornata lavorativa).

5/1/18

Mozilla ha rilasciato Firefox 57.0.4, fai riferimento a “Speculative execution side-channel attack (“Spectre”), Mozilla Foundation Security Advisory 2018-01“: mozilla.org/en-US/security/advisories/mfsa2018-01. Download del pacchetto aggiornato: mozillaitalia.org/home/download/#firefox

9/1/18
  • Safari 11.0.2, Released January 8, 2018, Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208403
  • iOS 11.2.2, Released January 8, 2018, Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation. iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208401
10/1/18

Buon 2018 da #Meltdown e #Spectre! (aggiornato 9/1)

5/1/18
  • FreeBSD (alla base anche dei sistemi Quest Kace di cui ti parlo sporadicamente qui nel blog), riporta:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We’re working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Vedi: freebsd.org/news/newsflash.html#event20180104:01

Gianluca, fonte inesauribile di riferimenti e di competenza, ha pubblicato su Facebook un aggiornamento di stato riguardante i PoC Javascript ormai disponibili pubblicamente, utili per eventuali attacchi browser-based, per i quali occorre proteggersi quanto prima:

Per quanto riguarda i client antivirus, ti rimando a un documento Google che raccoglie i dettagli di vendor / prodotto / data di rilascio per un fix (lato AV, nda), necessario per poter accedere agli aggiornamenti che ti metteranno al riparo –per quanto possibile– da Meltdown (via Windows Update), come riportato ufficialmente da Microsoft:

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.

Contact your Anti-Virus AV to confirm that their software is compatible and have set the following  REGKEY on the machine
Key=”HKEY_LOCAL_MACHINE”Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type=”REG_DWORD”
Data=”0x00000000”

Per esempio, in questo momento ti confermo che forzando l’installazione della patch su Windows con Symantec Endpoint Protection installato, si va a finire in un vicolo cieco che ti porterà unicamente a un BSOD (sarai costretto a usare DISM via prompt dei comandi in modalità recovery, per disinstallare il KB e poter tornare a lavorare su Windows correttamente).

Buon 2018 da #Meltdown e #Spectre! 2

5/1/18

Symantec ha rilasciato l’aggiornamento promesso, puoi verificare tu stesso dalla finestra di Troubleshooting, il modulo “Eraser” deve avere una versione pari o maggiore alla 117.3.0.358 (nel mio caso è già alla 359).

Buon 2018 da #Meltdown e #Spectre! 3

Su Microsoft Windows

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings:

Buon 2018 da #Meltdown e #Spectre!

Nel mio caso, come facilmente capirai, il sistema non è ancora stato patchato. In alternativa, se PowerShell non fa per te, dai un’occhiata a questo tool. Se hai anche tu Windows 10 (aggiornato a 1709), qui trovi i dettagli sull’update che riguarda (tra le altre cose) le due nuove vulnerabilità.

9/1/18
  • AMD e patch Microsoft: la coppia che scoppia. Microsoft ha temporaneamente disattivato la distribuzione delle patch per Meltdown e Spectre su sistemi che montano processori AMD perché -in alcuni casi- si arriva in un vicolo cieco che porta esclusivamente a BSOD:

Microsoft has reports of some customers with AMD devices getting into an unbootable state after installing this KB. To prevent this issue, Microsoft will temporarily pause Windows OS updates to devices with impacted AMD processors at this time.
Microsoft is working with AMD to resolve this issue and resume Windows OS security updates to the affected AMD devices via Windows Update and WSUS as soon as possible. If you have experienced an unbootable state or for more information see KB4073707. For AMD specific information please contact AMD.

fonte: support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

e ancora:

Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates. After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown. To prevent AMD customers from getting into an unbootable state, Microsoft will temporarily pause sending the following Windows operating system updates to devices with impacted AMD processors

fonte: support.microsoft.com/en-us/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

10/1/18

Microsoft Secure (blog), Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems: cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Una panoramica completa

Trovi su GitHub una pagina che cerca di raccogliere tutti i riferimenti più utili verso documenti e patch riguardanti i vari sistemi, è disponibile puntando il browser all’indirizzo github.com/hannob/meltdownspectre-patches.

5/1/18

La pagina è stata aggiornata, includendo molti più sistemi / applicazioni e relativi riferimenti alle advisories e alle patch già disponibili. Ti consiglio caldamente di darci un’occhiata (e tenerla comunque a portata di mano nel corso delle prossime ore / prossimi giorni).

Condividi l'articolo con i tuoi contatti: