Bardzo poważna sprzętowa wada wszystkich procesorów Intela, ARM, AMD podatne na Meltdown i Spectre

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060
Coś mi tu zalatuje... [/SPOILER]
Znalazłem już czas na przeanalizowaniu tekstu źródłowego i fakt, masz rację. Autor przeinaczył trochę oryginalny tekst i stwarza wrażenie, jakby niezbyt uważnie go przeczytał :)

Poza tym mógł słowo łapówka ująć w cudzysłowie i miałoby to inny wydźwięk.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
2165
Reakcje/Polubienia
3022
Miasto
To tu to tam....
Znalazłem już czas na przeanalizowaniu tekstu źródłowego i fakt, masz rację. Autor przeinaczył trochę oryginalny tekst i stwarza wrażenie, jakby niezbyt uważnie go przeczytał :)

Poza tym mógł słowo łapówka ująć w cudzysłowie i miałoby to inny wydźwięk.
Sorka ale sie nie zgodze... bug bounty to nie lapowka, nawet w cudzyslowie. A cracker to nie hacker. I ten ton: "matko bsko patchuf ni mo, nie wydajo, Intel nas smuszo do grania w minecrafta na niezabezpieczonym kompjuterze, lolaboga, agmagageddon!" - to jest przeciez czyste, zywe KLAMSTWO w zywe oczy by wzbudzic sensacje.
 

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060
Sorka ale sie nie zgodze... bug bounty to nie lapowka, nawet w cudzyslowie. A cracker to nie hacker. I ten ton: "matko bsko patchuf ni mo, nie wydajo, Intel nas smuszo do grania w minecrafta na niezabezpieczonym kompjuterze, lolaboga, agmagageddon!" - to jest przeciez czyste, zywe KLAMSTWO w zywe oczy by wzbudzic sensacje.
No dobrze, jak zwał tak zwał, masz prawo mieć inne zdanie ;)

Jako ciekawostka dodam, że na Ithardware dano taki tytuł: "Intel próbował przekupić naukowców "nagrodą", by nie ujawniali luki w CPU" :)

Co do reszty się zgadzam.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
2165
Reakcje/Polubienia
3022
Miasto
To tu to tam....
No dobrze, jak zwał tak zwał, masz prawo mieć inne zdanie ;)

Jako ciekawostka dodam, że na Ithardware dano taki tytuł: "Intel próbował przekupić naukowców "nagrodą", by nie ujawniali luki w CPU" :)

Co do reszty się zgadzam.
Poprawny tytul winien brzmiec: Intel probowal przekupic naukowcow nagroda by nie ujawniali luki w CPU uruchamiajac super duper tajny program wyplat w bitcoinach za pomoca specjalnie na potrzeby lapowek uruchomionego programu
Zaloguj lub Zarejestruj się aby zobaczyć!


Wait! Ich jest wiecej, szczwanych lapowkarzy jednych! Tu
Zaloguj lub Zarejestruj się aby zobaczyć!
jest zestawienie!
Z tym trzeba cos zrobic, walczyc, pietnowac, a najlepiej kamienowac na rynku!!111!!! Zaraz napisze o tym do DP, Pudelka i innych podobnych. I do Watykanu, niech ksieza pietnuja zwyrodnialcow z ambony!!111


Wracajac merytorycznie do wysokosci wyplat: "RIDL exploits three bugs in Intel CPUs", porownujac to z wysokoscia wyplat Bug Bounty:
Vulnerability Severity Intel Hardware
Critical (9.0 - 10.0) Up to $100,000
High (7.0 - 8.9) Up to $30,000
Medium (4.0 - 6.9) Up to $5,000
Low (0.1 - 3.9) Up to $2,000

i porownujac to z poczatkowa oferta Intela, wychodzi ze zakwalfikowali dwie podatnosci jako Medium, a jedna jako High, po czym zmienili klasyfikacje.
Oficjalnie zreszta naukowcy powinni dostac mniej, bo wg klasyficakcji CVE:
CVE-2018-12127 - medium;
CVE-2018-12130 - medium;
CVE-2019-11091 - low.
Klasyfikacja nie jest nadawana przez Intela, wiec nie mogli tu namieszac.
 
Ostatnia edycja:

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060
Intel, Intel, Intel .....intel... ufff :kwiczy2

Nowa luka spekulatywna o nazwie ZombieLoad 2 lub TSX Asynchronous Abort, została ujawniona dzisiaj i dotyczy funkcji Transactional Synchronization Extensions (TSX) w procesorach Intel. Korzystając z tej luki, lokalni napastnicy lub złośliwe oprogramowanie mogą ukraść poufne dane z jądra systemu operacyjnego lub innych procesów.

Zaloguj lub Zarejestruj się aby zobaczyć!
 

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060
........................... :)

Naukowcy odkryli dwie nowe luki znane jako TPM-FAIL w modułach TPM (fTPM) opartych na oprogramowaniu Intel i układach TPM STMicroelectronics, które mogłyby zostać wykorzystane przez hakerów do kradzieży kluczy kryptograficznych.

Zaloguj lub Zarejestruj się aby zobaczyć!
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
2165
Reakcje/Polubienia
3022
Miasto
To tu to tam....
........................... :)

Naukowcy odkryli dwie nowe luki znane jako TPM-FAIL w modułach TPM (fTPM) opartych na oprogramowaniu Intel i układach TPM STMicroelectronics, które mogłyby zostać wykorzystane przez hakerów do kradzieży kluczy kryptograficznych.

Zaloguj lub Zarejestruj się aby zobaczyć!
Co robic i jak zyc: aktualizowac... taki HP np. dla swoich produktow wydal poprawione BIOSy w pazdzierniku, np.
Zaloguj lub Zarejestruj się aby zobaczyć!


Jak ktos nie ma TPM intela ani STM, to tez polecam sie aktualizowac... bo tak. Dlaczemu? Ciekawym nosy sie marszcza ;) A HP pewne rzeczy wyjasnia w nader otwarty sposob:
Zaloguj lub Zarejestruj się aby zobaczyć!
(sekcja Enhancement w obu dokumentach sie TROSZKE rozni, nieprawdaz?)
 

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
7224
Reakcje/Polubienia
16060
Plundervolt – nowa, niebezpieczna podatność w procesorach Intela. Programowo modyfikując napięcia można dostać się do sekretów [SGX]
Autorzy
Zaloguj lub Zarejestruj się aby zobaczyć!
piszą tak:
Modern processors are being pushed to perform faster than ever before – and with this comes increases in heat and power consumption. To manage this, many chip manufacturers allow frequency and voltage to be adjusted as and when needed. But more than that, they offer the user the opportunity to modify the frequency and voltage through priviledged software interfaces.
Czyli programowo możemy kontrolować częstotliwość taktowania oraz napięcie. Niegroźne, prawda?
Zaloguj lub Zarejestruj się aby zobaczyć!
. Jeśli pewne operacje realizowane są przez
Zaloguj lub Zarejestruj się aby zobaczyć!
, możliwe jest choćby wyciągnięcie poufnych kluczy krypto:
In multiple case studies, we show how the induced faults in enclave computations can be leveraged in real-world attacks to recover keys from cryptographic algorithms (including the AES-NI instruction set extension)
Intel wydał
Zaloguj lub Zarejestruj się aby zobaczyć!
oznaczając podatność z ryzykiem High. Podatnych jest wiele rodzin z platformy Core (od 5. do 10. generacji) oraz Xeony.

Dostępne są zarówno filmiki demo (przykład poniżej), jak i
Zaloguj lub Zarejestruj się aby zobaczyć!
:


Atak najprawdopodobniej bardziej dotyka użytkowników serwerowych niż domowych (choć trudno przewidzieć pełen impact – bo zastosowań SGX jest naprawdę wiele). Jedno jest pewne – nie korzystasz z SGX (jawnie czy niejawnie) – możesz spać spokojnie.
 
Do góry