Bardzo poważne luki bezpieczeństwa procesorów Intela, ARM, AMD. Między innymi Meltdown i Spectre

[Grandalf]

AMD wydało oświadczenie na temat wykrytych ostatnio luk przez ..... No właśnie, przez kogo właściwie ? Bo jest coraz więcej wątpliwości, że byli to ludzie z CTS Labs.

Cytat jednego z użytkowników pclab.pl

CTS mówiło, że nie pokazują publicznie sposobów na wykorzystanie tych 'luk' w obawie o ich szerokie wykorzystanie, potem w wywiadzie dla Anandtech tłumaczyli, że nie pozwala na to prawo Izraela, a teraz, kiedy AMD ustosunkowało się do wszystkiego, opublikowali filmik na swojej stronie z demonstracją Masterkey...

W tej samej rozmowie dla Ananda przyznali, że gdyby odkryli Spectre i Meltdown zachowali by się prawdopodobnie inaczej i nie opublikowali informacji w podobny sposób. Mocno się gubili w technikaliach dotyczących CPU i serwerów. Twierdzili, że odkrytych problemów nie da się naprawić, ale przy okazji Spectre i Meltdown można zauważyć, jak dużo elementów CPU daje się kontrolować za pośrednictwem BIOSu i mikrokodu procesora, którego większość (albo i całość) jest nieudokumentowana. Chwalą się, że mają 16 lat doświadczenia w branży, a jednocześnie zasłaniają tym, że są żółtodziobami i dlatego odkryte przez nich luki nie mają numerów CVE...

Natomiast z oświadczenia możemy się dowiedzieć, że luki te nie mają związku z architekturą ZEN i zostaną wyeliminowane poprzez aktualizację Biosu, bez wpływu na wydajność

 

[Zeno]

Najnowsze plany wydawnicze Intela microcodu na Spectre.

Zaloguj lub Zarejestruj się aby zobaczyć!

Rany - Intel napisał, że na mój stary procek jest już łata, a producent mojego laptopa jeszcze nic o tym nie wie. Muszę mu chyba podesłać linka.

 

[spamtrash]

nie moge byc ekspertem od wszystkiego, bo to niektorym przeszkadza...

 

[Zeno]

W sumie to nie rozumiem czemu na tym etapie jeszcze mowimy o luce w zabezpieczeniach a nie o wycieku backdoora, ale nie ja ustalam terminologie...

Chyba przez ostrożność. Zarzut umieszczenia backdoora zakłada celowe, a przynajmniej świadome działanie producenta. Rzecz nie do udowodnienia dla zwykłego Kowalskiego (choć pewnie nie tylko). Trudno zakładać, że postem umieszczonym na jakimś forum w Polsce Intel się przejmie. Niemniej jednak będzie taki post jakimś zarzutem umieszczonym w przestrzeni publicznej. Nigdy nie wiadomo, czy taki zdesperowany na tym etapie Intel nie zechciałby kogoś dla przykładu publicznie ukrzyżować, żeby podreperować nieco swoją totalnie nadszarpniętą reputację. Niby sprawa o oszczerstwo ścigana jest z oskarżenia prywatnego, ale sankcje są z prawa karnego (za przestępstwo, a nie wykroczenie). Do tego dochodzą nowe wątpliwe pomysły na walkę fake newsami, gdzie już do gry z urzędu będzie wchodził prokurator (lub co gorsza urzędnik w ministerstwie, bo też takie pomysły były) i odwalał w ramach swoich kompetencji za kogoś całą brudną robotę z sankcjami karnymi w tle. W innym poście sam zwróciłeś uwagę, jak może ograniczać prawomocny wyrok za przestępstwo karne, więc nie będę rozwijał tematu.
Reasumując, na wszelki wypadek, może lepiej korzystać ze wzorców z czasów PRL-owskiej cenzury i pisać o "luce", luce , czy luce , albo luce , a może luce lub też luce .

 

[Zeno]

Nie tak dawno odkryto nowy wariant ataku pozwalający obejść mechanizm zabezpieczeń procesorów Intela Core 6 generacji – Skylake o nazwie SGX, Software Guard Extensions i nadano mu nazwę SgxPectre.
W krótkim słowie - lektura artykułu przekonuje, ze bez łatek mikrokodu Intela żyć będzie trudno.
Mnie w artykule na ten temat rozbawiła jedna rzecz:

Grupa amerykańskich informatyków z Uniwersytetu Stanowego Ohio – profesorowie Yinqian Zhang, Zhiqiang Lin i Ten Lai, oraz ich doktoranci Guoxing Chen, Sanchuan Chen i Yuan Xiao, przedstawili

Zaloguj lub Zarejestruj się aby zobaczyć!

atak o nazwie SgxPectre. W towarzyszącym mu

Zaloguj lub Zarejestruj się aby zobaczyć!

pt. SgxPectre Attacks: Leaking Enclave Secrets via Speculative Executionpokazują, że jeśli na przewidywanie rozgałęzień kodu w enklawie wpłynie się za pomocą programów działających poza enklawą, to przepływ komend w enklawie może być czasowo zmieniony tak, by wykonane zostały instrukcje prowadzące do obserwowalnych zmian w cache procesora.

więcej:

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

I tak czytając różne doniesienia amerykańskich badaczy można powoli się zacząć zastanawiać czy Stany to nie jest przypadkiem jakiś kraj leżący między Jangcy a Mekongiem...

 

[.m.]

przygladalem sie tematowi od strony konsumenta. wyciagnalem kilka wnioskow. pierwszy najwazniejszy to taki, ze jesli kiedys przyjdzie mi do lba skladac jakiegos blaszaka to nie tkne niczego ze stajni asrock. niby jedne skosnookie z asusem, tylko jakos ci drudzy nie maja problemu z wydaniem aktualizacji biosow nawet do duzo starszych plyt. sprawa druga, moge sobie sam przerobic ostatni lezacy bios ale... spieprze gdzies i ... producent olal temat juz na poczatku tlumaczac, ze musza taki bios zrobic, przetestowac itd... ok, ale daj boze zdrowie... od listopada?! trzecia rzecz, moje zaufanie do producentow na tyle zmalalo, ze jesli kiedys przyjdzie mi wydac pieniadz to mocno sie zastanowie co kupie. fakt, moze wyjsc jakis problem pozniej. fakt, nie mam na to wplywu. ale jako klient koncowy nie lubie byc olany sikiem prostym, tylko zyczylbym sobie aby tematem sie zajeto. a jesli nie... i nie minie 24 miesiace to z miejsca sprzet idzie do zwrotu i cyrtolic sie nie bede w zadne sentymenty. cala ta sytuacja pokazala tylko ktorzy producenci jak do tematu podchodza.

 

[al]

Microsoft has updated several microcode updates for the company's Windows 10 operating system that push so-called microcode updates to devices the update is installed on which protect against attacks targeting Spectre Variant 2.

Zaloguj lub Zarejestruj się aby zobaczyć!

are vulnerabilities that affect a wide range of devices. Microsoft released patches in early January 2018 but they caused

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

on some devices running Windows. To make matters worse, manufacturers such as Intel had to provide updates as well and these needed to be installed to protect systems effectively.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

ciach

 

[spamtrash]

Za duzo slow... nie moge byc ekspertem od wszystkiego, bo to niektorym przeszkadza...

 

[Zeno]

Prawdy i mity o wskazaniach systemu użycia procesora wg Brandona Gregga...

Brandon Gregg w swoim wystąpieniu, które możecie obejrzeć na powyższym wideo, każe nam zwątpić w ten pomiar. Od czasów pojawienia się HyperThreadingu w procesorach Intela, stan zasobów przedstawianych w menedżerze zadań i zasobów faktycznie dostępnych mają ze sobą coraz mniej wspólnego – system operacyjny zachowuje się tak, jakby logiczny rdzeń był fizycznym rdzeniem, w ten sposób mierząc użycie procesora.

Zaloguj lub Zarejestruj się aby zobaczyć!

Sęk w tym, że te rdzenie stały się zbyt szybkie dla komputera. Kiedy widzimy w monitorze systemowym, że użycie procesora jest na 90%, to może się nam to wydawać, że 90% mocy obliczeniowej CPU oddane jest jakimś pożytecznym zajęciom, a 10% idzie na jałowym biegu. Nic z tego, zapewnia Gregg. W rzeczywistości wygląda to znacznie gorzej: w zdecydowanej większości CPU niczego nie robi, większość wątków czeka sobie na dane z podsystemów pamięci, które nie nadążają za tym, co się dzieje.

Zaloguj lub Zarejestruj się aby zobaczyć!

Z roku na rok przepaść między wydajnością procesorów a pamięci rośnie. Projektanci architektur sprzętowych próbują się ratować przed tym wąskim gardłem, budując rozmaite struktury buforowania (L1, L2, L3), ale w tym roku dostali bardzo po głowie. Wydarzyło się coś nieprzewidzianego – łatki na luki Meltdown i Spectre.


Ekspert Netfliksa w swoim wystąpieniu pokazuje, jaki faktycznie łatki te wpływ mają na serwery o takich samych parametrach, uruchamiające te same obciążenia robocze. Najwyraźniej nieustanne czyszczenie bufora TLB (Translation Lookaside Buffer) powoduje zadławienie CPU – i to jest zgłaszane jako „użycie procesora”. W rzeczywistości nie mamy do czynienia z zadławionym procesorem, który zamiast np. spać i oszczędzać energię, po prostu czeka na możliwość zrobienia czegoś użytecznego.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[al]

Spectre Next Generation vulnerabilities affect Intel processors

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

Za duzo slow... nie moge byc ekspertem od wszystkiego, bo to niektorym przeszkadza...

 

[Grandalf]

Nowe luki zabezpieczeń w procesorach Intela
al dodał newsa o tym wczoraj, ale dodam z polskiego źródła:

Zaloguj lub Zarejestruj się aby zobaczyć!

W skrócie:

Czekają nas kolejne fale poprawek i aktualizacji. Specjaliści odkryli aż osiem nowych zagrożeń, na które podatne są procesory Intela.

Źródło twierdzi, że Intel planuje co najmniej dwufalowy proces wydawania poprawek dla Spectre NG. Pierwsza może ruszyć już w maju, a druga ma być planowana na sierpień. Jedno z ośmiu zagrożeń Spectre NG odkryła ekipa Google Project Zero. Pierwsza poprawka może pojawić się już 7 maja, bo wtedy ma upłynąć 90-dniowy czas ostrzeżenia odkrywców luk zabezpieczeń, przyjęty jako standard w branży IT (niestety, bywa on łamany). Warto zauważyć, że 8 maja przypada następny "Patch Tuesday" dla Microsoftu. Niewykluczone więc, że właśnie tego dnia Microsoft dla systemów Windows wyda pierwsze poprawki. Producenci i użytkownicy komputerów muszą przygotować się też na kolejne fale aktualizowania BIOS-ów płyt głównych.

Tym razem jednak nie pojawia się żadna firma "krzak" nie respektująca umownych 90 dni

 

[Zeno]

Nowe luki zabezpieczeń w procesorach Intela
al dodał newsa o tym wczoraj, ale dodam z polskiego źródła:

Zaloguj lub Zarejestruj się aby zobaczyć!

Dorzucę jeszcze oryginalne:

Zaloguj lub Zarejestruj się aby zobaczyć!

i dodatkowe dla zagranicznych gości:

Zaloguj lub Zarejestruj się aby zobaczyć!

Właściwie jestem przekonany, że mój kolejny laptop będzie się opierał o AMD ( dla Intela za całokształt + brak aktualizacji biosów choć to już nie ich wina) i Radeona ( dla NVidii za "zimne" luty, które trwale unieszkodliwiły mi 2 laptopy, a do tej pory nie miałem sposobu, by się zrewanżować) .

 

[Grandalf]

AMD stworzyła już poprawki na luki CTS Labs

Zaloguj lub Zarejestruj się aby zobaczyć!