2018-01-04 The Register ülevaade Inteli pressiteatest We translated Intel's crap attempt to spin its way out of CPU security bug PR nightmare
Päris hea
Neid "nalju" on tänaseks palju rohkem olemas.
Kõige huvitavam "nali" - on hetkel vist küll see, et Microsoft lappis igaks juhuks ette ära ka AMD ning ARM Chipsettide turvaaugud.
Microsoft Releases Emergency Windows Update to Fix Intel, AMD, ARM Chip Bug All Windows versions provided with critical fix
Microsoft has just released an emergency Windows update to address a vulnerability in Intel, AMD, and ARM chipsets that would allow attackers to bypass kernel access protections and take control of systems.
The security flaw, which was first believed to exist only in Intel processors, but which was then confirmed to also affect other chips, exposes kernel memory areas in a way that allows all apps to read protected content, thus exposing the data to unauthorized access.
Microsoft responded fast with today’s update, shipping it to all versions of Windows. What’s important to know, however, is that only Windows 10 is getting the update automatically today, while Windows 7 and Windows 8.1 will be offered the update on Patch Tuesday next week. Users can, however, install it manually already via the Microsoft Update Catalog.
Systems enrolled in the Windows Insider program in the Fast ring received the patch before the end of 2017 and no further action is required.
Ega jah sellest oli kohe mainitud, et microsoft nn fixib ka AMD seda viga mida neil pole.Mis tähendab et amd võib ka nüüd windowsis mingi aeg raskeks minna kunu saab selgust, linuksis saab seda välja lülitada aga windowsis vast mitte.
Ega jah sellest oli kohe mainitud, et microsoft nn fixib ka AMD seda viga mida neil pole.Mis tähendab et amd võib ka nüüd windowsis mingi aeg raskeks minna kunu saab selgust, linuksis saab seda välja lülitada aga windowsis vast mitte.
Spectre on ka AMD prosedel auguks, aga selle vastu nagu ma aru saan rohtu polegi peale prose arhitektuuri muutuse.
Intel CEO to employees: 'We are going to take more risks'
Intel's Brian Krzanich wrote in a memo to employees on Tuesday that the company faces "an exciting challenge" in areas where it's an underdog.
The company's growth strategy is ultimately about data, he wrote.
põnevad katsumused tõesti
ja sama aeg müüs oma inteli osakuid... ju siis oli teada, et kuskilt midagi hakkab lekkima..
Kes ei hooma, siis Intel ei tee ainult CPUsid. Ehk ei ole vaja karta, et nad turul kohe nii kukuvad. Allikas
Aga jah, Inteli serveri CPUde müügile pani põntsu AMD oma Threadripperiga ja nüüd siis see turvaaugu krahh. _________________ Tähenärimine on hammastele kahjulik!
sorry aga pooled postid siin teemas ajavad aju lihtsalt valutama.
me teema on nii 2017 nagu keegi juba ütles.
opsüsteem puutub inteli vea puhul (meltdown) võrdlemisi vähe asjasse, tehtav on see kõigi all ja lahendus (mitte täielik lahendus vaid vähendab haavatavust oluliselt) praeguseks on kaiser patchid, mis kõigil kolmel suuremal opsüsteemil tulemas või olemas.
spectre on keerulisem ja haavatavad on kõik out-of-order prosed (ehk siis pea kõik tänapäevased laiatarbe prosed, kaasa arvatud arm). üht-teist annab teha softis haavatavuse vähendamiseks aga lõplikku lahendust ei ole.
edit:
muide, see jutt, et amd saab paigad ja neid pole vaja on lihtsalt rumal. andke andeks aga turva alal need asjad lihtsalt ei käi nii.
tegemist on avastatud ründe tüübiga, millele ka amd (ja ka arm) on potentsiaalselt haavatavad. ründe mõju vähendavad paigad lajatatakse peale kõigele ja siis hakatakse maha korjama kui on selgunud, et antud juhul kindlad protsessorid ei ole haavatavad. lisaks tasub lugeda ka meltdowni uurimustööd. uurijad märgivad seal muude protsessorite kohta nii:
tsitaat:
We also tried to reproduce the Meltdown bug on several ARM and AMD CPUs. However, we did not manage to successfully leak kernel memory with the attack described in Section 5, neither on ARM nor on AMD. The reasons for this can be manifold. First of all, our implementation might simply be too slow and a more optimized version might succeed. For instance, a more shallow out-of-order execution pipeline could tip the race condition towards against the data leakage. Similarly, if the processor lacks certain features, e.g., no re-order buffer, our current implementation might not be able to leak data. However, for both ARM and AMD, the toy example as described in Section 3 works reliably, indicating that out-of-order execution generally occurs and instructions past illegal memory accesses are also performed.
_________________ - londiste
...aga mina ei saa kunagi suureks!
viimati muutis londiste 04.01.2018 11:49:02, muudetud 2 korda
sorry aga pooled postid siin teemas ajavad aju lihtsalt valutama.
me teema on nii 2017 nagu keegi juba ütles.
opsüsteem puutub inteli vea puhul (meltdown) võrdlemisi vähe asjasse, tehtav on see kõigi all ja lahendus praeguseks on kaiser patchid, mis kõigil kolmel suuremal opsüsteemil tulemas või olemas.
spectre on keerulisem ja haavatavad on kõik out-of-order prosed (ehk siis pea kõik tänapäevased laiatarbe prosed, kaasa arvatud arm). üht-teist annab teha softis haavatavuse vähendamiseks aga lõplikku lahendust ei ole.
RedHat-i John Terrill ütleb üheselt, et Mõlema Probleemiga / keissiga tegeldakse praegu ühekorraga.
- nii, et "ära sae tükkideks" probleeme mida on mõistlik ühtse tervikuna lahendada.
Red Hat's John Terrill informs Softpedia today that Red Hat is aware of the two hardware bugs (Meltdown and Spectre) affecting most modern microprocessors and they're working on security updates to mitigate them on their supported operating systems.
Lugu ise: Red Hat Says Security Updates for Meltdown & Spectre Bugs May Affect Performance
Gives users the ability to enable the updates selectively to better understand their impact on sensitive workloads
Lisame veel otsapidi MediaTek, nVidia, Qualcomm...
NB! Et mitte ennatlikke arvamusi tekitada - näiteks "nVdia" nime mainimine ei tähenda, et nüüd on kohe kõik nVidia GPU'd puudutatud. Pigem on antud juhul juttu osadest kiipidest, mida Androidi telefonides on.
There are 3 known CVEs related to this issue in combination with Intel, AMD, and ARM architectures. Additional exploits for other architectures are also known to exist. These include IBM System Z, POWER8 (Big Endian and Little Endian), and POWER9 (Little Endian).
Lisaks Intel, AMD, ARM protsessoritele on probleemid ka IBM protsessoritega.
pigem siis juba terve x86(-64) fundamentaalselt auklik, mitte ainult kernelid, nendele ehitatud o/s'de haavatavusi pole mõtet mainidagi.
Keegi polegi rääkinud, et OS kernelid auklikud oleks. Inteli x86-64 on auklik. Ja võibolla ka AMD, ARM arhitektuur - see vajab veel kinnitust. _________________ There is no place like 127.0.0.1
londiste, ei arva ju? Ainus mis ma välja suutsin lugeda on, et Kerneli uuendused aitavad probleemi patchida. Nagu seda ka Inteli puhul. Sest no riistvara on võimatu patchida.
Uued prosed/mudelid on ARM sõnul veast priid riistvara tasemel või siis omavad kerneli patchi. ("All future Arm Cortex processors will be resilient to this style of attack or allow mitigation through kernel patches.").
Muidugi huvitaval kombel on kasutatud sõna mitigation - mitte fix vmt samal tasemel väidet.
tsitaat:
mitigation - the action of reducing the severity, seriousness, or painfulness of something.
_________________ There is no place like 127.0.0.1
viimati muutis Renka 04.01.2018 14:48:04, muudetud 1 kord
londiste, ei arva ju? Ainus mis ma välja suutsin lugeda on, et Kerneli uuendused aitavad probleemi patchida. Nagu seda ka Inteli puhul. Sest no riistvara on võimatu patchida.
Uued prosed/mudelid on ARM sõnul veast priid riistvara tasemel või siis omavad kerneli patchi. ("All future Arm Cortex processors will be resilient to this style of attack or allow mitigation through kernel patches.").
See on pigem lubadus, et me tulevikus (tõenäoliselt) fiksime selle probleemi ära.
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.