Spectre/Meltdown 将 COM 方法修补为 Return E_ACCESSDENIED
Spectre/Meltdown Patch Causing COM Method to Return E_ACCESSDENIED
我在一个大量使用 COM 的项目上工作,新的 Spectre/Meltdown 补丁无疑扰乱了程序内部的通信。
我怎么知道?我重新镜像了一台 Windows 机器(2017 年 5 月),但该补丁不存在。我安装了我的程序,一切都按预期工作。然后我下载了所有必需的更新。该程序不再有效。然后,我仅卸载 Meltdown/Spectre 补丁(Windows 10 版本 1507 的基于 x64 的系统 (KB4056893) 的 2018-01 累积更新)和程序 returns 到正常行为。
我将调试器连接到我的程序并跟踪到这部分代码。
INvRtrControl4Itf * poRouterControl = GetNvRtrControl4();
if(poRouterControl)
{
//the following line of code always returns E_ACCESSDENIED
HRESULT hr = poRouterControl->GetXPTExtendedInfoForOutputs(lNumPorts, poOutputPorts, poXPTAndLPRInfo, peStatus);
if(FAILED(hr))
{
ConnectToRouterControl();
poRouterControl->Release();
return hr;
}
poRouterControl->Release();
}
Windows 未打补丁 系统上的调试器:
poRouterControl->GetXPTExtendedInfoForOutputs returns S_OK
Windows 已修补 系统上的调试器:
poRouterControl->GetXPTExtendedInfoForOutputs returns E_ACCESSDENIED
我有一个 COM 服务器 A 试图与 COM 服务器 B 通信,两者都具有相同的权限 (SYSTEM)。在 PATCHED 系统上,当 A 从 COM 接口 INvDevControl2Itf 调用方法时,该方法被服务器 B 正确调用。当同一个服务器 A 尝试从进程 B 上的不同接口 INvRtrControl4Itf 调用方法时,返回 E_ACCESSDENIED 并且我从未通过 COM 接口。在未修补的系统上,一切都按预期工作。
有没有人在使用 COM 和新的 Spectre/Meltdown 补丁时遇到过这个问题?我将继续寻找原因,但同样的代码在没有安装补丁的情况下运行得非常好。然而,客户最终会想要更新他们的系统,所以我不能推荐也不想告诉他们永远不要安装补丁。
在 Windows Support Page on the Patch Itself 的帮助下,我通过更改 COM 服务的 CoInitializeSecurity() 方法调用中的一些代码解决了 COM 服务无法调用方法 GetXPTExtendedInfoForOutputs 的问题
hRes = CoInitializeSecurity(NULL, -1, NULL, NULL,
RPC_C_AUTHN_LEVEL_NONE,
RPC_C_IMP_LEVEL_IMPERSONATE,
NULL,
EOAC_NONE,
NULL);
至
hRes = CoInitializeSecurity(NULL, -1, NULL, NULL,
RPC_C_AUTHN_LEVEL_CALL, //<----------- changed
RPC_C_IMP_LEVEL_IMPERSONATE,
NULL,
EOAC_NONE,
NULL);
虽然它解决了问题,但有些接口与原始代码完美配合,而 INvRtrControl4Itf 等其他接口却失败了,这让人有些不安。此外,我不需要更改正在与之通信的其他 COM 服务中的 CoInitializeSecurity 方法初始化,只需更改调用方 COM 服务即可。其他 COM 服务仍然可以用 RPC_C_AUTHN_LEVEL_NONE 初始化,我的程序像以前一样工作。
但是,我确实将所有 CoInitializeSecurity 方法调用更改为使用 RPC_C_AUTHN_LEVEL_CALL,这应该可以减少将来出现 E_ACCESSDENIED hresults 的可能性。不幸的是,现在对 RPC 服务器的每次调用都需要身份验证,我假设我的程序的性能可能会受到一点影响。我怀疑这会引起任何关注。
也许这就是为什么有些人在使用 Spectre/Meltdown 补丁更新他们的系统时注意到性能下降的原因...只是一个想法。
我在一个大量使用 COM 的项目上工作,新的 Spectre/Meltdown 补丁无疑扰乱了程序内部的通信。
我怎么知道?我重新镜像了一台 Windows 机器(2017 年 5 月),但该补丁不存在。我安装了我的程序,一切都按预期工作。然后我下载了所有必需的更新。该程序不再有效。然后,我仅卸载 Meltdown/Spectre 补丁(Windows 10 版本 1507 的基于 x64 的系统 (KB4056893) 的 2018-01 累积更新)和程序 returns 到正常行为。
我将调试器连接到我的程序并跟踪到这部分代码。
INvRtrControl4Itf * poRouterControl = GetNvRtrControl4();
if(poRouterControl)
{
//the following line of code always returns E_ACCESSDENIED
HRESULT hr = poRouterControl->GetXPTExtendedInfoForOutputs(lNumPorts, poOutputPorts, poXPTAndLPRInfo, peStatus);
if(FAILED(hr))
{
ConnectToRouterControl();
poRouterControl->Release();
return hr;
}
poRouterControl->Release();
}
Windows 未打补丁 系统上的调试器:
poRouterControl->GetXPTExtendedInfoForOutputs returns S_OK
Windows 已修补 系统上的调试器:
poRouterControl->GetXPTExtendedInfoForOutputs returns E_ACCESSDENIED
我有一个 COM 服务器 A 试图与 COM 服务器 B 通信,两者都具有相同的权限 (SYSTEM)。在 PATCHED 系统上,当 A 从 COM 接口 INvDevControl2Itf 调用方法时,该方法被服务器 B 正确调用。当同一个服务器 A 尝试从进程 B 上的不同接口 INvRtrControl4Itf 调用方法时,返回 E_ACCESSDENIED 并且我从未通过 COM 接口。在未修补的系统上,一切都按预期工作。
有没有人在使用 COM 和新的 Spectre/Meltdown 补丁时遇到过这个问题?我将继续寻找原因,但同样的代码在没有安装补丁的情况下运行得非常好。然而,客户最终会想要更新他们的系统,所以我不能推荐也不想告诉他们永远不要安装补丁。
在 Windows Support Page on the Patch Itself 的帮助下,我通过更改 COM 服务的 CoInitializeSecurity() 方法调用中的一些代码解决了 COM 服务无法调用方法 GetXPTExtendedInfoForOutputs 的问题
hRes = CoInitializeSecurity(NULL, -1, NULL, NULL,
RPC_C_AUTHN_LEVEL_NONE,
RPC_C_IMP_LEVEL_IMPERSONATE,
NULL,
EOAC_NONE,
NULL);
至
hRes = CoInitializeSecurity(NULL, -1, NULL, NULL,
RPC_C_AUTHN_LEVEL_CALL, //<----------- changed
RPC_C_IMP_LEVEL_IMPERSONATE,
NULL,
EOAC_NONE,
NULL);
虽然它解决了问题,但有些接口与原始代码完美配合,而 INvRtrControl4Itf 等其他接口却失败了,这让人有些不安。此外,我不需要更改正在与之通信的其他 COM 服务中的 CoInitializeSecurity 方法初始化,只需更改调用方 COM 服务即可。其他 COM 服务仍然可以用 RPC_C_AUTHN_LEVEL_NONE 初始化,我的程序像以前一样工作。
但是,我确实将所有 CoInitializeSecurity 方法调用更改为使用 RPC_C_AUTHN_LEVEL_CALL,这应该可以减少将来出现 E_ACCESSDENIED hresults 的可能性。不幸的是,现在对 RPC 服务器的每次调用都需要身份验证,我假设我的程序的性能可能会受到一点影响。我怀疑这会引起任何关注。
也许这就是为什么有些人在使用 Spectre/Meltdown 补丁更新他们的系统时注意到性能下降的原因...只是一个想法。