Если я правильно понимаю суть уязвимости, для неё достаточно иметь работающий определённым (и не особо экзотическим) образом branch prediction - вполне вероятно, что Эльбрус тоже ей подвержен, просто руки ни у кого проверить не дошли.
Праотец Эльбруса всем рассказывал, что интел украл/купил его наработки. У Эльбруса наверняка такие же косяки, просто из-за слабой распространенности не афишируют этим.
А тема то старая, похоже. Помню, как еще в далёком 2008 я читал о том, что наш известный исследователь в области информационной безопасности Крис Касперски (AKA мыщъх) заявлял, что он нашел уязвимость в процессорах Интел, которая позволяет "совершить удаленный взлом системы при помощи скрипта на JavaScript или TCP/IP-пакета вне зависимости от операционной системы". Он даже собирался продемонстрировать эксплоит на конференции, но вдруг отказался. Говорили, что ему якобы даже дали отступного, чтобы он помалкивал. В те годы в профессиональной среде развернулось нешуточное бурление на тему выдумал ли он эту уязвимость, возможна ли такая уязвимость в принципе, но как видим, похоже, прав был Крис.
Это совершенно не значит, что он нашёл именно эту проблему (даже если нашёл). Вы вообще представляете, сколько уязвимостей в браузерах и ОС найдено за последние 10 лет?
А вот если бы не было монополии на этом рынке, то проблем было меньше. Нашли уязвимость в Intel, заодно укололи AMD, чтобы не скучно было топиться. Это хорошо видно, когда сравниваешь с дизельным скандалом. Будь у Фольцвагена один конкурент, то сразу пошли бы на конфронтацию с ним. А так как у них большой рынок, то пострадали они в одиночку. А у потребителя остался выбор ☝🏻
Монополии и нет. Придумайте ISA, наштампуйте процессоров и продавайте их. Это никто не запрещал. Хотите венду запускать, тогда придётся лицензировать либо arm, либо amd64.
Важно ещё отметить, что изменить данные таким образом нельзя, только извлечь. Т.е. злоумышленники не смогут подставить свои номера счетов при оплате, добавить правило для фаервола или что-то в этом роде.
Помню-помню как в середине 2000-х IT-компании отправляли в металлолом серверы на SPARC и Power, и меняли всю инфраструктуру на x86 с Linux. А вот сейчас посмотрим как самортизируются.
Я чет не понял, почему на этом сайте пиар ход Линуксоидов? с какого перепугу.. проблемы у всех кроме линукса? Как будто в линуксе другие процессоры используют. на других сайтах тоже инфа разница: По данным The Register, Linux и Windows угрожает замедление работы от 5% до 30%. По macOS данных пока что нет. Подробнее: http://safe.cnews.ru/news/top/2018-01-03_v_protsessorah_intel_najdena_dyraotkryvayushchaya
Ну тут только про игры написано - поскольку на линухе они итак работают в пару раз медленнее винды обычно, то речиедва ли можно говорить а пиаре. А вот то что уязвимости закрываются значительно оперативнее чем на винде - действительно важно
Это не совсем баг. Это, скорее, скрытое "нечистоплотное" поведение процессора заложенное в архитектуре и просто "не подумали" что это может стать вектором для атаки. Хотя вот у процессоров AMD безопасному поведению в этом куске было уделено больше внимание и именно эта дырка на них не распространяется.
и так комп дно, еще минус 30% срезают. Даже если 10%, все равно ощущаться будет на слабых машинах. К тому же процессор греется на 15% больше, судя по тестам.
Сиди и думай. ставить или нет. Хорошо денег нет, новый комп не собирал, было бы обидно.
Чем это хуже и опаснее, чем обычные шифровальщики и кейлоггеры?
То есть, если юзер установил какое-то "плохое приложение" на ПК - чем этот вариант отличается от ситуации до доклада специалистов? Мы победили все вирусы, кейлоггеры, трояны и шифровальщики как оспу, они все вымерли? Откуда такой хайп, я просто хочу понять.
Другими словами, если к вам подходят в темном переулке и тычут ножом под ребро - на каком этапе вы облажались в построении своей системы безопасности - когда пошли в темный переулок и допустили сближение, или когда заказали плохой бронежилет.
PS: на самом деле и хороший кевларовый бронежилет, выдерживающий удар пули, пробивается заточкой - известная проблема, из-за того, что узкие лезвия раздвигают волокна
«Эльбрус», твой выход.
Комментарий удалён модератором
Если я правильно понимаю суть уязвимости, для неё достаточно иметь работающий определённым (и не особо экзотическим) образом branch prediction - вполне вероятно, что Эльбрус тоже ей подвержен, просто руки ни у кого проверить не дошли.
Праотец Эльбруса всем рассказывал, что интел украл/купил его наработки. У Эльбруса наверняка такие же косяки, просто из-за слабой распространенности не афишируют этим.
Да, с таксой и гнушимся дисплеем)
А тема то старая, похоже. Помню, как еще в далёком 2008 я читал о том, что наш известный исследователь в области информационной безопасности Крис Касперски (AKA мыщъх) заявлял, что он нашел уязвимость в процессорах Интел, которая позволяет "совершить удаленный взлом системы при помощи скрипта на JavaScript или TCP/IP-пакета вне зависимости от операционной системы". Он даже собирался продемонстрировать эксплоит на конференции, но вдруг отказался. Говорили, что ему якобы даже дали отступного, чтобы он помалкивал. В те годы в профессиональной среде развернулось нешуточное бурление на тему выдумал ли он эту уязвимость, возможна ли такая уязвимость в принципе, но как видим, похоже, прав был Крис.
http://cnews.ru/news/top/kasperskij_vzlomal_protsessory_intel
Это совершенно не значит, что он нашёл именно эту проблему (даже если нашёл). Вы вообще представляете, сколько уязвимостей в браузерах и ОС найдено за последние 10 лет?
И они с 2008 решили не закрывать это? Ну-ну.
Теперь могут наклеить на упаковку наклейки «без 10летней уязвимости» и «на 30% быстрее» и продавать дальше
пошел доставать с пыльной антресоли РК-86. Дед сказал не выкидывать - пригодится)))
РК-86 c клоном процессора от Intel.
БК-0010
| стоимость акций Intel упала на 3%
Да чтоб она у них на 30% упала, как производительность.
А вот если бы не было монополии на этом рынке, то проблем было меньше.
Нашли уязвимость в Intel, заодно укололи AMD, чтобы не скучно было топиться.
Это хорошо видно, когда сравниваешь с дизельным скандалом. Будь у Фольцвагена один конкурент, то сразу пошли бы на конфронтацию с ним. А так как у них большой рынок, то пострадали они в одиночку. А у потребителя остался выбор ☝🏻
На AMD Risen часть багов воспроизводится, не волнуйтесь.
Концерн Volkswagen тоже монополист. Посмотрите сколько им автомобильных брендов принадлежит.
Что такое "фольцваген"?
Это каким же образом? Ну и монополии глобально и нет, Intel к ARM отношения не имеет.
Монополии и нет. Придумайте ISA, наштампуйте процессоров и продавайте их. Это никто не запрещал. Хотите венду запускать, тогда придётся лицензировать либо arm, либо amd64.
Важно ещё отметить, что изменить данные таким образом нельзя, только извлечь. Т.е. злоумышленники не смогут подставить свои номера счетов при оплате, добавить правило для фаервола или что-то в этом роде.
И да и нет. Напрямую изменить не смогут, но использовать украденные данные для других атак еще как смогут.
Сделайте сами хоть 1 процессор, без багов и уязвимостей. А то попиздеть все горазды...
СОгласен - одни мудрецы собрались
Помню-помню как в середине 2000-х IT-компании отправляли в металлолом серверы на SPARC и Power, и меняли всю инфраструктуру на x86 с Linux. А вот сейчас посмотрим как самортизируются.
https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
Чудо не произошло-power тоже уязвимы
Я чет не понял, почему на этом сайте пиар ход Линуксоидов?
с какого перепугу.. проблемы у всех кроме линукса? Как будто в линуксе другие процессоры используют.
на других сайтах тоже инфа разница:
По данным The Register, Linux и Windows угрожает замедление работы от 5% до 30%. По macOS данных пока что нет.
Подробнее: http://safe.cnews.ru/news/top/2018-01-03_v_protsessorah_intel_najdena_dyraotkryvayushchaya
Ну тут только про игры написано - поскольку на линухе они итак работают в пару раз медленнее винды обычно, то речиедва ли можно говорить а пиаре.
А вот то что уязвимости закрываются значительно оперативнее чем на винде - действительно важно
При чем тут ОС? Проблема в процессорах, а не в ОС
Комментарий удалён модератором
Это не совсем баг. Это, скорее, скрытое "нечистоплотное" поведение процессора заложенное в архитектуре и просто "не подумали" что это может стать вектором для атаки. Хотя вот у процессоров AMD безопасному поведению в этом куске было уделено больше внимание и именно эта дырка на них не распространяется.
Проблема не в ОС, а в процессоре.
Google Chrome обновился и теперь комменты загружаются на VC, вот это реально важно)
Интересно, успеют ли внести изменения в 9-е поколение которое в этом году выходит?
и так комп дно, еще минус 30% срезают. Даже если 10%, все равно ощущаться будет на слабых машинах. К тому же процессор греется на 15% больше, судя по тестам.
Сиди и думай. ставить или нет. Хорошо денег нет, новый комп не собирал, было бы обидно.
Есть у кого-то линки на update для Windows 7 разных версий? Пока не могу найти, а публикация Verge ни о чем (все будет мол, но не сразу)
Чем это хуже и опаснее, чем обычные шифровальщики и кейлоггеры?
То есть, если юзер установил какое-то "плохое приложение" на ПК - чем этот вариант отличается от ситуации до доклада специалистов? Мы победили все вирусы, кейлоггеры, трояны и шифровальщики как оспу, они все вымерли? Откуда такой хайп, я просто хочу понять.
Другими словами, если к вам подходят в темном переулке и тычут ножом под ребро - на каком этапе вы облажались в построении своей системы безопасности - когда пошли в темный переулок и допустили сближение, или когда заказали плохой бронежилет.
PS: на самом деле и хороший кевларовый бронежилет, выдерживающий удар пули, пробивается заточкой - известная проблема, из-за того, что узкие лезвия раздвигают волокна
Хайп в том, что это _аппаратная уязвимость_ да еще к тому же и существовавшая более десяти лет.