Názory k článku Opět bezpečnostní díra u procesorů Intel: chyba Lazy FP Restore (oživeno)
-
hh (neregistrovaný)
Vím, že to bude hodně náročné, ale nevíte, jestli se někdo zabývá přeměřením benchmarků procesorů po jednotlivých opravách a před nimi? Hodně těch optimalizací, co se vypíná, protože to jsou díry, se týká třeba jen intelu, nebo narušují významně jen nějakou oblast využití cpu. Ztratí se obrovská výpočetní síla, a spousta systémů je na tom už teď tak, že ždímají prostředky na 99%. Jsem zvědav, jestli se někde něco zhroutí, protože se aktualizuje OS, mikrokód cpu, bios, .. a výkon klesne o tolik, že to najednou nebude stačit. A vzhledem k dlouhodobě podfinancovaném IT úplně všude to může být zajímavá situace.
-
Saruman (neregistrovaný)
Koukám že nákup Ryzenu byla dobrá volba. Architektura Core dosáhla zenitu v Sandy, dál už to bylo ždímání kamene. Různé triky na úkor bezpečnosti pomohly k nějakému procentu ale nyní se to Intelu vrací. Nepochybuji že budou muset vypínat další fígle až se dostanou někam na úroveň ipc Ivy/Haswell...
-
Tady je prezentace Thea de Raddta: https://www.youtube.com/watch?v=UaQpvXSa4X8 -- zacina to na 3:35.
A tady je vlakno Colina Percivala o tom jak se veci maji a jak mu Intel neopravnene priradil kredit, ktery nalezel nekomu jinemu: https://twitter.com/cperciva/status/1007010583244230656 -
Oprava: OpenBSD nebylo soucasti NDA a tedy ani soucasti embarga! OpenBSD kontaktovalo Intel a zadalo o zarazeni do embarga ale bylo ignorovano. Na zaklade spekulace a prezentace Thea de Raddta na BSDCan 2018 v Ottave Colin Percival napsal behem 5 hodin exploit, tedy kod ktery dokazuje zranitelnost. Potom kontaktoval Intel s touto skutecnosti a Intelu nezbylo nic jineho nez publikovat chybu drive.
Takze diky OpenBSD a Colinu Percivalovi mame opravy drive nez bylo puvodne zamysleno a to je si myslim dobre, protoze pokud Colin Percival na zaklade spekulace napsal exploit behem 5 hodin, tak "bad guys" ho meli uz davno...
Misto "OpenBSD porusilo embargo" bych vam pane Olsane doporucoval napsat clanek o techto embarzich, ktere zahrnuji jen vyvolene a o pravech lidi pouzivat i okrajove OS, ktere z jakychsi duvodu jsou velkymi hraci ignorovany. Pokud takovy OS pak prispiva k bezpecnosti vlastnim nezavislym vyzkumem je pak napadan, ze porusil nejake embargo... -
K debate vyššie, za mňa, dobré 3-4 mesiace už ani očami neprebieham články o nových chybách/opravách - spectre, melt a spol. a to sa o PC a komponenty denno denne zaujímam a pracujem s nimi.
Ergo, dovolím si povedať že 99+% "normálních uživatelů" (nie hráčov/geekov) o nejakých problémoch, záplatách opravách ani len vzdialene netuší - opýtajte sa svojej mamy, otca, sestry, kolegyne, spolužiaka na to či "už aktualizoval BIOS koli melt/spect." a sledujte ich reakcie typu "BIO čo ???" :D -
"Ergo, dovolím si povedať že 99+% „normálních uživatelů“ (nie hráčov/geekov) o nejakých problémoch, záplatách opravách ani len vzdialene netuší – opýtajte sa svojej mamy, otca, sestry, kolegyne, spolužiaka na to či „už aktualizoval BIOS koli melt/spect.“ a sledujte ich reakcie typu „BIO čo ???“"
Ja se staram o sve PC a i o PC v rodine. O chybach tusim, presto jsem ani jeden pocitac neaktualizoval BIOS. Pominme ted to, ze ve skutecnosti ani jedna z tech chyb neni zavazna a neni zneuzitelna vzdalene. Vzdy musite nejprve do toho PC neco dostat, cemuz spolehlive brani firewall a uzivatele sami bez administratorskych prav tam nic nedostanou.
Ale prejdeme k te dulezitejsi veci: Ani na JEDEN POCITAC NEEXISTUJE oprava BIOSu. Jak jiz jsem dal priklad sveho Haswellu vyse, vyrobci desek na opravy BIOSu totalne kaslou a pokud zrovna nemate Skylake a novejsi procesor, tak mate smolika, ikdyz je otazka kdo ma smolika, tem uzivatelum to nevadi a jak pises ani o zadne chybe nic netusi a ikdyby jo, tak je jim to jedno. -
jen mám dotaz, bude nutný i update BIOSu? Nebo by měl stačit patch pro OS ? Spectre/Meltdownem jsme se museli poměrně dost zabývat a zákazníkovi jsme už museli doporučit vyřadit starší HW, protože opravy BIOSu prostě nevyšly.. pro ně to bohužel bude vcelku ranec.. Byly tam stroje řady Core-i5/i7 2xxx a některé i 3xxx (nepamatuju si co za názvy toho Intel má, nikdy mi tyhle stupidní názvy nepřirostly). Škoda je, že ty stroje nejsou po výkonové stránce nijak extra zlé, většinu z nich hrubě zpomaluje HDD, ale stačila by výměna za SSD a ještě by si mohli chrochtat, jak to šlape.. Na virtualizačních serverech to samozřejmě byla jiná prasárna.. Ale na výkonu jsme to naštěstí nepoznali, takže to bylo spíš spooousta ruční práce
-
Nido nic nevypina! Pocitace normalne bezi dal, na Haswellu ani Skylaku stale neni Spectre opravene, vyrobci desek na to pecou a MS co vim na tyhle procaky opravu pres Win update nepustil, pripadne se da vypnout pres registr.
Cele je to takovy napul hoax, kdy se busi akorat v clankach na netu, ale ve skutecnosti je moznost zneuziti minimalni a take tak k tomu vyrobci desek pristoupili a mimo nove desky zadne opravy neprovedli, takze klidek. -
Jan Olšan (neregistrovaný)
Jestli kontaktovali Intel s hlášením a ten je odpálkoval, tak to by byla skutečně chyba (a odpovědnost) na straně Intelu. Otázka je teda samozřejmě, kde vzal Raadt ty "rumours" (bez kterých by o tom asi nevěděl a tedy by to asi neleaklo), ale tam asi mohl porušit to tajemství někdo jiný. Pořád si nejsem úplně jistý, jestli byl dobrý nápad o tom přednášet.
-
Dúfam tým nechceš naznačiť, že by sa o tom nemalo písať, lebo to predsa platí o akejkoľvek téme o PC a "normálnych užívateľoch". Či už ide o typ či frekvenciu RAM, výrobcu GPU či nejakej ich technológii, pripravovaných GPU či CPU, nových driveroch, rozhrania SSD, kompatibilite CPU so základnými doskami, a tak podobne.
Som si ale istý, že tí, ktorým pred časom update OS znefunkčnil PC si tento fakt zrejme všimli, hoci nevedeli čo je za tým... -
To je mozne, ale pak se dostavame do problemu, kde nezaplatovane windows stroje se stavaji nastroji utoku v osidlech ruznych botnetu, taktez nezaplatovane routery, web kamery a dalsi IoT nesmysly. Utoky botnetu na ruzne sluzby se uz nas ale mohou tykat, proto neni dobre bezpecnostni problemy ignorovat...
-
Jan Olšan (neregistrovaný)
Ne, v tomhle případě to bude jenom o úpravách operačního systému.
Jinak ty Spectre a Meltdown by se aspoň v případě Sandy Bridge a Ivy Bridge měly dát řešit tím, že se mikrokód nahraje místo BIOSem z operačního systému. Na Linuxu i na Windows byl ten mikrokód měl být dostupný, akorát že u Windows to je manuální oprava, neinstaluje se automaticky: https://www.cnews.cz/windows-update-mikrokod-oprava-spectre-intel-sandy-bridge-minitest -
Tak tady mate dalsi varku! OpenBSD vyplo SMT alias hyper-threading v Intelovych koncinach. Varuje, ze se jedna o dalsi potencionalni problem. Dokonce uvadi i zdroj -- predpokladam po domluve. O vsem se oficialne dozvite primo od nej na BlackHat 2018.
Tady je upoutavka: https://www.blackhat.com/us-18/briefings/schedule/#tlbleed-when-protecting-your-cpu-caches-is-not-enough-10149
Tady je commit a navazne vlakno ve kterem je zminen i zdroj:
https://www.mail-archive.com/source-changes@openbsd.org/msg99141.html
Pane Olsane a prosim bez zhazovani OpenBSD protentokrat. Intel mohl pohnout linym zadkem a pojistit si je spravnyma informacema, to ze je (OpenBSD) ignoruji je pouze Intelova smula (a jeho zakazniku samozrejme). Diky OpenBSD mame ale sanci pouzit OS, ktery je v co nejvetsi mire bezpecny a soucasne pouzitelny... -
šarik (neregistrovaný)
Na Haswell záplaty jsou v linuxím jádře dávno a Asus na kancelářskou haswelí desku starou 5+ let vydal letos už dva nové BIOsy. V lednu a dubnu.
Právě proto beru desky Asus, že nekálí na staré desky, ale průběžně vydávají pro ně nové BIOSy. Abych pravdu řekl, tak jsem v to ani nedoufal, že by se věnovali tak staré desce. -
Jan Olšan (neregistrovaný)
Četl jsem to na tom ML, vyplývá z toho, že pravděpodobně vypnou SMT i na jiných architekturách/CPU, takže to nebude jenom o Intelu.
Jinak teda achjo, ty side-channel útoky jsou hrůza (i když teda jsou asi jenom symptom, ne hlavní problém), s tímhle ještě budou roky problémů v softwaru i v procesorech. -
BIOS
Verze 2603
2016/03/255.4 MBytes
H97-PLUS BIOS 2603
https://www.asus.com/cz/Motherboards/H97PLUS/HelpDesk_BIOS/
BIOS pro muji desku Asus NEVYDAL! -
Sergio Lopez (RedHat developer) na twitteru prohlasil, ze "se to dalo ocekavat, ze uz pred par mesici poskytl patch do Linux, ale odpovedni lide ho neprijali". Dokonce poskytl odkaz: https://lkml.org/lkml/2018/2/1/244
Ano, souhlas, side-channel utoky jsou pekna prasarna, ale bohuzel se s nimi budeme muset naucit zit -- a tam kde to bude potreba patricne eliminovat.
Návody a tipy
23. 10. 2024
| online
31. 7. 2024
| online
6. 7. 2024
| online
ČLÁNKY DO MAILU