Podobno Power też, IBM na razie milczy.
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Dotyczy chyba wszystkich wysoko wydajnych.
-
Forum Libertarian ma swój regulamin.
Komputery z procesorami Intela są kontrolowane przez… Intela
- Thread starter dataskin
- Rozpoczęty
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Dotyczy chyba wszystkich wysoko wydajnych.
NoahWatson
Well-Known Member
- 1 297
- 3 207
https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
Tylko znów nie jest napisane czy Meltdown czy samo Spectre.
NoahWatson
Well-Known Member
- 1 297
- 3 207
Meltdown, aka "Dear Intel, you suck"
Jeśli chodzi o Spectre to ograniczenie tej podatności może wymagać patchy na kompilatory C++ i przebudowanie całych projektów. Wydajnościowo oberwie się najbardziej projektom, które używają kodu pisanego tak, że po skompilowaniu binarka ma dużo indirect call-i, metod wirtualnych.
Philip Guenther napisał:
Jeśli chodzi o Spectre to ograniczenie tej podatności może wymagać patchy na kompilatory C++ i przebudowanie całych projektów. Wydajnościowo oberwie się najbardziej projektom, które używają kodu pisanego tak, że po skompilowaniu binarka ma dużo indirect call-i, metod wirtualnych.
Ostatnia edycja:
GAZDA
EL GAZDA
- 7 687
- 11 168
byłem w sklepie i w sklepowym radiu gadali o zbiorowym pozwie użytkowników przeciwko intelowi
MaxStirner
Well-Known Member
- 2 782
- 4 724
Testuję poprawki na Win10 i wentylatory ruszają co chwile. Spadek rzędu kilkunastu - kilkudziesięciu procent wcale by mnie nie zdziwił.
GAZDA
EL GAZDA
- 7 687
- 11 168
testowali te meltdowny i spectra i wykrywali podatność na prockach intelowskich nawet na rocznikach 2010, czyli co z moim meromem moge być spokojny? 
NoahWatson
Well-Known Member
- 1 297
- 3 207
Jeśli chodzi o Meltdown:testowali te meltdowny i spectra i wykrywali podatność na prockach intelowskich nawet na rocznikach 2010, czyli co z moim meromem moge być spokojny?
Jeśli masz procesor Intela z rocznika 1995 i nowsze to mogą być (ale nie muszą) być podatne. Powinieneś to sam sprawdzić.
Z tego co czytałem (nie chce mi się szukać na nowo, polecam to potwierdzić samodzielnie) to Microsoft wypuścił poprawki dla Win od 7 do 10, ale na razie tylko w wersjach 64-bit. Podobnie z vanilla kernelem Linuksa: KPTI jest dostępne dla 64-bitowych x86, ale już nie 32-bitowych x86.
Co ciekawe raspberry pi nie jest podatne ani na Meltdown ani na Spectre:
https://www.raspberrypi.org/magpi/raspberry-pi-spectre-meltdown/
OP
OP
dataskin
Well-Known Member
- 2 059
- 6 146
Nikomu nie udało się na dzień dzisiejszy odtworzyć ataku na (najnowszych) procesorach AMD i ARM, sama poprawka dla Linuksa jest domyślnie wyłączona dla procesorów AMD.
Jeszcze jeden powód dla którego warto rozważyć przesiadkę na ARMy, jeżeli ktoś nie potrzebuje mocy obliczniowej desktopów w codziennej pracy a ma hopla na punkcie bezpieczeństwa.
Jeszcze jeden powód dla którego warto rozważyć przesiadkę na ARMy, jeżeli ktoś nie potrzebuje mocy obliczniowej desktopów w codziennej pracy a ma hopla na punkcie bezpieczeństwa.
NoahWatson
Well-Known Member
- 1 297
- 3 207
Jak już MaxStirner napisał (i vapaus sugerował), część ARM-ów jest podatna na Spectre, a niektóre nawet na Meltdown.
https://developer.arm.com/support/security-update
Akurat modele ARM-ów stosowane w Raspberry nie są na liście w biuletynie bezpieczeństwa ARM, czyli nie są podatne. Pokrywa się to z twierdzeniami ludzi z Raspberry.
tolep
five miles out
- 8 587
- 15 491
Niesamowite. Czym się rózni na przykład taki rdzeń Cortex A53 od A57, że ten pierwszy (stosowany masowo w telefonach ze średniej iniskiej półki) jest podatny a ten drugi nie? Akurat w moim telefonie mam 4 rdzenie A53 i 2 rdzenie A72 (Snapdragon 650).
Kolejna śmiesznostka - stosowane masowo kilka lat temu w tanich telefonach rdzenie A7 też nie są podatne
Kolejna śmiesznostka - stosowane masowo kilka lat temu w tanich telefonach rdzenie A7 też nie są podatne
OP
OP
dataskin
Well-Known Member
- 2 059
- 6 146
Nie. Napisali że "MOGĄ być", względnie że jest "MOŻLIWE IŻ SĄ POTENCJALNIE" dotknięte tym problemem. Natomiast nikt na dzień dzisiejszy tego jednoznacznie nie dowiódł, tzn. nie pokazał exploita który by działał na platformie ARM.
NoahWatson
Well-Known Member
- 1 297
- 3 207
https://meltdownattack.com/
Potencjalnie wiele procesorów jest tym zagrożone (w domyśle niesprawdzane architektury jak SPARC64, Power itd - ale najwyraźniej nie mieli czasu/dostępu/nie chciało się weryfikować). Pewność mają na tych, które zweryfikowali czyli na co najmniej jednym Intelu, AMD i ARMie.
3 strona
https://spectreattack.com/spectre.pdf
We whitepaperze od ARM rzeczywiście znajduje się słówko potencjalnie (czego nie ma w biuletynie bezpieczeństwa ARM), ale nie dziwię się - mają tyle różnych implementacji architektur ARMv[6,7,8] i do tego pewnie klienci mogą w niektórych przypadkach wprowadzać niewielkie zmiany lub budować własne rdzenie, że mogą czegoś nie zauważyć i się pomylić o jednen model w tą lub inną stronę - ale nie zmienia to, że zweryfikowano Spectre na co najmniej jednym ARM.
Moja interpretacja tego tekstu, ale biorę też pod uwagę przeczytane w innych źródłach informacje.
Potencjalnie wiele procesorów jest tym zagrożone (w domyśle niesprawdzane architektury jak SPARC64, Power itd - ale najwyraźniej nie mieli czasu/dostępu/nie chciało się weryfikować). Pewność mają na tych, które zweryfikowali czyli na co najmniej jednym Intelu, AMD i ARMie.
3 strona
https://spectreattack.com/spectre.pdf
We whitepaperze od ARM rzeczywiście znajduje się słówko potencjalnie (czego nie ma w biuletynie bezpieczeństwa ARM), ale nie dziwię się - mają tyle różnych implementacji architektur ARMv[6,7,8] i do tego pewnie klienci mogą w niektórych przypadkach wprowadzać niewielkie zmiany lub budować własne rdzenie, że mogą czegoś nie zauważyć i się pomylić o jednen model w tą lub inną stronę - ale nie zmienia to, że zweryfikowano Spectre na co najmniej jednym ARM.
Ostatnia edycja:
- Moderator
- #73
- 8 902
- 25 803
Złośliwcy korzystając z afery meltdownowej wypominają Intelowi poprzednie pomyłki przy zaprojektowanych procesorach.
Intel produkuje wadliwe procesory — ale od kiedy? Najwyraźniej od zawsze
[...]
W momencie wydania „rewolucyjnego procesora”, definiującego rzekomo platformę PC na nowo, nie istniała na rynku żadna oferta sprzętowa. Nawet, gdy wreszcie pojawiły się pierwsze 32-bitowe pecety, były absurdalnie drogie. Co gorsza, żaden system operacyjny nie był gotowy na ich wykorzystanie. MS-DOS był 16-bitowy, pracował w trybie rzeczywistym. Windows dostał obsługę procesora 386 w 1988 roku, ale była to wyjątkowa, niestandardowa i nieznana nigdy później metoda przejścia w tryb chroniony, niezgodna ze wszystkimi „oficjalnymi” menedżerami pamięci. Poza tym, Windows dalej był środowiskiem 16-bitowym. OS/2 tak samo. To niesamowicie denerwujące. Włożono górę pieniędzy w OS/2, a otrzymano system, który za chwilę będzie trzeba przepisać. Wersja 32-bitowa powstała dopiero w 1992. Windows NT – w 1993 (i nikt go nie chciał). Innymi słowy, przez siedem lat od premiery, procesor 386 nie dostał systemu, który umiałby go wykorzystać. Niesamowite.
Klęska na polu środowisk 32-bitowych doprowadziła do zabawnych efektów. Istotna partia procesorów 386 miała wadę konstrukcyjną. Mowa o innej wadzie, niż ta, która wymusiła sprzedaż układów z zaniżonymi zegarami – tamta dotyczyła bowiem wszystkich procesorów z serii. Wada, którą mam na myśli, rozpoznawano po tajemniczym symbolu na pokrywie procesora: podwójnej dużej sigmie. To niewiele mówiące oznaczenie zastosowano dla odróżnienia procesorów działających poprawnie („sprawdzone, działa”) od pozostałych. Niesprawdzone układy pozostawały nagie, a przetestowane otrzymywały albo podwójną sigmę albo o wiele więcej mówiący opis „16 BIT S/W ONLY".
Układy Sigma-Sigma potrafiły wykonywać poprawnie operację 32-bitowego mnożenia. Tak jest. Nie chodzi tu o żadne skakanie po stosie, operacje związane z przerwaniami, gubienie flag ani nic z tych rzeczy. Przełomowy 32-bitowy procesor nie potrafił poprawnie wykonywać 32-bitowego mnożenia. Przecież to jest jakiś dowcip. Ale to nie wszystko. Być może oznaczanie poprawnych procesorów sigmą ma teraz sens, ale po co oznaczać wadliwe procesory? Przecież są uszkodzone, wywalą się na pierwszym strzępku 32-bitowego kodu (no, może nie na pierwszym...). Otóż, jak się okazuje, ten kompromitujący błąd procesorów 386 nie był przeszkodą we wprowadzeniu ich na rynek! Dlaczego? No przecież przed chwilą ustaliliśmy, że na rynku nie było żadnego 32-bitowego kodu! Jeżeli więc ten rażący problem nigdy nie wyjdzie na jaw, to przecież można dalej sprzedawać wadliwy układ. Natłukliśmy sporo tych kostek, co się mają zmarnować, prawda?
[...]
A przecież 486 również nie uchodziły za wzór stabilności. Zwłaszcza w tandemie z efemerycznym złączem VLB potrafiły wykoleić nawet porządny, poprawny elektrycznie sprzęt, kosztujący ciężkie pieniądze. Na szczęście wszystkie te problemy miał wyeliminować „połączony” chipset Intel PCISet (kładący fundament pod nadchodzący standard ATX) o wysokiej skali integracji, współpracujący z procesorem 80586. Od piątki w numerze pochodzi nazwa, pod którą tenże układ jest znany o wiele lepiej: Pentium. Superskalarny, wspomagany arytmetycznie i wysokowydajny procesor Intel Pentium nie miał żadnych znanych z 386 problemów z mnożeniem - to była już melodia przeszłości. Pentium dla odmiany nie umiał dzielić.
Ze względu na rozpędzającą się popularyzację pecetów ich powolny proces eksterminowania dedykowanych stacji roboczych np. w środowiskach naukowych, błąd dzielenia w procesorze Pentium stał się hitem branżowych wiadomości. Intel zareagował tak samo, jak na niedawne informacje o Spectre: nic się nie stało, problem występuje tylko przy określonych warunkach i tak dalej. Rozpoczęto jednak akcję wymiany partii wadliwych procesorów. Podobno spotkała się ze skromnym odbiorem, ale kosztowała firmę Intel niezłą górę pieniędzy. Krążą też pogłoski, że wymienione wadliwe kostki były przerabiane na oficjalne breloczki do kluczy. To raczej nieprawda, ale istotnie Intel rozdawał breloczki z „wafelkiem” Pentium obarczonym błędem dzielenia (floating point number division, FDIV). Windows musiał znowu dostosować się do tego, że procesor niekoniecznie działa w pełni tak, jak piszą w instrukcji: Windows NT do wersji 2003 zawierał narzędzie „pentnt”, które informuje użytkownika, czy posiadany procesor zawiera błąd w dzieleniu. O problemie z FDIV informowało nawet CNN, więc była z tego niezła afera, acz nie dowiedziono, żeby za wybieraniem konkurencyjnych układów AMD przemawiało wtedy cokolwiek poza względami finansowymi (jakże to znajomo brzmi…).
Problemy nie skończyły się na FDIV. W 1997 roku okazało się, że da się wysłać do procesora sekwencję, która zablokuje procesor, oczekujący na odebranie wyjątku, który nie może nadejść. Blokujący kod można wykonać w przestrzeni użytkownika trybu chronionego, co oznacza, że blokująca sekwencja F0 0F C7 C8 to w praktyce „suicide button” – mimo, że instrukcja logicznie nie ma sensu, procesor robi, co może, żeby ją wykonać, zamiast wyrzucić bezwarunkowy błąd (invalid opcode) nieobsługiwanej instrukcji. Oczywiście trzeba się trochę natrudzić, żeby złożyć program wykonujący taką instrukcję, kompilator niesprowokowany sam z siebie nie złoży programu w taki sposób. Ale nie zmienia to faktu, że da się doprowadzić do sytuacji, w której komputer po prostu przestaje działać i z takiego stanu może go wybudzić tylko zimny restart.
Tym razem jednak obyło się bez takiego szału medialnego, głównie dlatego, że ludzie masowo wymieniali komputery na nowoczesne systemy ATX z kasetkowym Pentium II, USB, ACPI i AGP. Pamiętajmy wszak, że w owych czasach trzyletni komputer uchodził za przestarzały złom.
[...]
Skala problemów z 80386 oraz oryginalnym Pentium była na tyle duża, że można z powodzeniem uznać te procesory za wadliwe produkty, wykazujące błędy na tyle poważne, że nie powinny się ukazać na rynku. Ale nie dość, że sprzedawano jest w powodzeniem i bez wyrzutów sumienia, to jeszcze w globalnej perspektywie „nic się nie stało”. To pokazuje, że o wiele więcej rzeczy musi pójść źle, żeby doprowadzić do globalnych problemów.
[...]
Był kiedyś taki dowcip:
Cóż, dobry pomysł z tymi breloczkami... Zawsze można do niego wrócić. [...]
W momencie wydania „rewolucyjnego procesora”, definiującego rzekomo platformę PC na nowo, nie istniała na rynku żadna oferta sprzętowa. Nawet, gdy wreszcie pojawiły się pierwsze 32-bitowe pecety, były absurdalnie drogie. Co gorsza, żaden system operacyjny nie był gotowy na ich wykorzystanie. MS-DOS był 16-bitowy, pracował w trybie rzeczywistym. Windows dostał obsługę procesora 386 w 1988 roku, ale była to wyjątkowa, niestandardowa i nieznana nigdy później metoda przejścia w tryb chroniony, niezgodna ze wszystkimi „oficjalnymi” menedżerami pamięci. Poza tym, Windows dalej był środowiskiem 16-bitowym. OS/2 tak samo. To niesamowicie denerwujące. Włożono górę pieniędzy w OS/2, a otrzymano system, który za chwilę będzie trzeba przepisać. Wersja 32-bitowa powstała dopiero w 1992. Windows NT – w 1993 (i nikt go nie chciał). Innymi słowy, przez siedem lat od premiery, procesor 386 nie dostał systemu, który umiałby go wykorzystać. Niesamowite.
Klęska na polu środowisk 32-bitowych doprowadziła do zabawnych efektów. Istotna partia procesorów 386 miała wadę konstrukcyjną. Mowa o innej wadzie, niż ta, która wymusiła sprzedaż układów z zaniżonymi zegarami – tamta dotyczyła bowiem wszystkich procesorów z serii. Wada, którą mam na myśli, rozpoznawano po tajemniczym symbolu na pokrywie procesora: podwójnej dużej sigmie. To niewiele mówiące oznaczenie zastosowano dla odróżnienia procesorów działających poprawnie („sprawdzone, działa”) od pozostałych. Niesprawdzone układy pozostawały nagie, a przetestowane otrzymywały albo podwójną sigmę albo o wiele więcej mówiący opis „16 BIT S/W ONLY".
Układy Sigma-Sigma potrafiły wykonywać poprawnie operację 32-bitowego mnożenia. Tak jest. Nie chodzi tu o żadne skakanie po stosie, operacje związane z przerwaniami, gubienie flag ani nic z tych rzeczy. Przełomowy 32-bitowy procesor nie potrafił poprawnie wykonywać 32-bitowego mnożenia. Przecież to jest jakiś dowcip. Ale to nie wszystko. Być może oznaczanie poprawnych procesorów sigmą ma teraz sens, ale po co oznaczać wadliwe procesory? Przecież są uszkodzone, wywalą się na pierwszym strzępku 32-bitowego kodu (no, może nie na pierwszym...). Otóż, jak się okazuje, ten kompromitujący błąd procesorów 386 nie był przeszkodą we wprowadzeniu ich na rynek! Dlaczego? No przecież przed chwilą ustaliliśmy, że na rynku nie było żadnego 32-bitowego kodu! Jeżeli więc ten rażący problem nigdy nie wyjdzie na jaw, to przecież można dalej sprzedawać wadliwy układ. Natłukliśmy sporo tych kostek, co się mają zmarnować, prawda?
[...]
A przecież 486 również nie uchodziły za wzór stabilności. Zwłaszcza w tandemie z efemerycznym złączem VLB potrafiły wykoleić nawet porządny, poprawny elektrycznie sprzęt, kosztujący ciężkie pieniądze. Na szczęście wszystkie te problemy miał wyeliminować „połączony” chipset Intel PCISet (kładący fundament pod nadchodzący standard ATX) o wysokiej skali integracji, współpracujący z procesorem 80586. Od piątki w numerze pochodzi nazwa, pod którą tenże układ jest znany o wiele lepiej: Pentium. Superskalarny, wspomagany arytmetycznie i wysokowydajny procesor Intel Pentium nie miał żadnych znanych z 386 problemów z mnożeniem - to była już melodia przeszłości. Pentium dla odmiany nie umiał dzielić.
Ze względu na rozpędzającą się popularyzację pecetów ich powolny proces eksterminowania dedykowanych stacji roboczych np. w środowiskach naukowych, błąd dzielenia w procesorze Pentium stał się hitem branżowych wiadomości. Intel zareagował tak samo, jak na niedawne informacje o Spectre: nic się nie stało, problem występuje tylko przy określonych warunkach i tak dalej. Rozpoczęto jednak akcję wymiany partii wadliwych procesorów. Podobno spotkała się ze skromnym odbiorem, ale kosztowała firmę Intel niezłą górę pieniędzy. Krążą też pogłoski, że wymienione wadliwe kostki były przerabiane na oficjalne breloczki do kluczy. To raczej nieprawda, ale istotnie Intel rozdawał breloczki z „wafelkiem” Pentium obarczonym błędem dzielenia (floating point number division, FDIV). Windows musiał znowu dostosować się do tego, że procesor niekoniecznie działa w pełni tak, jak piszą w instrukcji: Windows NT do wersji 2003 zawierał narzędzie „pentnt”, które informuje użytkownika, czy posiadany procesor zawiera błąd w dzieleniu. O problemie z FDIV informowało nawet CNN, więc była z tego niezła afera, acz nie dowiedziono, żeby za wybieraniem konkurencyjnych układów AMD przemawiało wtedy cokolwiek poza względami finansowymi (jakże to znajomo brzmi…).
Problemy nie skończyły się na FDIV. W 1997 roku okazało się, że da się wysłać do procesora sekwencję, która zablokuje procesor, oczekujący na odebranie wyjątku, który nie może nadejść. Blokujący kod można wykonać w przestrzeni użytkownika trybu chronionego, co oznacza, że blokująca sekwencja F0 0F C7 C8 to w praktyce „suicide button” – mimo, że instrukcja logicznie nie ma sensu, procesor robi, co może, żeby ją wykonać, zamiast wyrzucić bezwarunkowy błąd (invalid opcode) nieobsługiwanej instrukcji. Oczywiście trzeba się trochę natrudzić, żeby złożyć program wykonujący taką instrukcję, kompilator niesprowokowany sam z siebie nie złoży programu w taki sposób. Ale nie zmienia to faktu, że da się doprowadzić do sytuacji, w której komputer po prostu przestaje działać i z takiego stanu może go wybudzić tylko zimny restart.
Tym razem jednak obyło się bez takiego szału medialnego, głównie dlatego, że ludzie masowo wymieniali komputery na nowoczesne systemy ATX z kasetkowym Pentium II, USB, ACPI i AGP. Pamiętajmy wszak, że w owych czasach trzyletni komputer uchodził za przestarzały złom.
[...]
Skala problemów z 80386 oraz oryginalnym Pentium była na tyle duża, że można z powodzeniem uznać te procesory za wadliwe produkty, wykazujące błędy na tyle poważne, że nie powinny się ukazać na rynku. Ale nie dość, że sprzedawano jest w powodzeniem i bez wyrzutów sumienia, to jeszcze w globalnej perspektywie „nic się nie stało”. To pokazuje, że o wiele więcej rzeczy musi pójść źle, żeby doprowadzić do globalnych problemów.
[...]
Był kiedyś taki dowcip:
What does the ”Intel Inside” sticker mean? That you’ve been warned!
MaxStirner
Well-Known Member
- 2 782
- 4 724
Ja sie zastanawiam tylko nad jednym - wpływem tego na serwisy Torowe i programy szyfrujące. Ciekawe co sie stanie
NoahWatson
Well-Known Member
- 1 297
- 3 207
Inna łatwa w zrozumieniu dla laików infografika. Pokazuje też co należy aktualizować dla poszczególnych podatności:
https://twitter.com/enisa_eu/status/950773337361403904
https://www.enisa.europa.eu/publica...nd-spectre-critical-processor-vulnerabilities
https://twitter.com/enisa_eu/status/950773337361403904
https://www.enisa.europa.eu/publica...nd-spectre-critical-processor-vulnerabilities
- Moderator
- #76
- 8 902
- 25 803
Intel dalej zbiera bęcki za zaniedbania i głupie pomysły...
Kolejna luka w rozwiązaniach Intela – uwaga na komputery w firmach
14.01.2018 17:15
Zła wiadomość dla użytkowników komputerów wykorzystujących rozwiązania Intela, choć tym razem głównie w firmach. Dopiero co musieli pogodzić się z konsekwencjami luk Meltdown i Spectre i obniżoną wydajnością komputerów po instalacji aktualizacji, a już pojawia się informacja o kolejnej luce w rozwiązaniach firmy, tym razem związanej z AMT – Intel Active Management Technology. Szczegóły przedstawia Harry Sintonen z F-Secure, który odkrył tę podatność jeszcze w 2017 roku.
Luka umożliwia atakującemu uzyskanie zdalnego dostępu do komputerów w ramach firmy, o ile wcześniej posiadał on fizyczny dostęp do jednego z nich, choćby na kilka sekund – to wystarczający czas, by włączyć dodatek i otworzyć sobie furtkę na przyszłość. Luka nie jest nowa, ale Sintonen zwraca uwagę, że nadal jest niebezpieczna i, jak wynika z jego obserwacji, dotyczy wszystkich komputerów, które pod tym kątem przetestował – niezależnie od systemu operacyjnego.
Luka wyszła na jaw, gdy podjęto próbę zdalnego uruchomienia laptopa i udało się z wykorzystaniem standardowego hasła admin w przypadku korzystania z dodatku Intel AMT, co stanowi ominięcie standardowej blokady hasłem ustalonym w BIOS-ie. Sintonen dodaje, że atakującego nie może powstrzymać firewall, a korzystanie z serwera VPN może tylko pogorszyć sprawę, bo dzięki temu atakujący skorzysta teraz także z dodatkowych zasobów w firmie.
Doraźnym sposobem na rozwiązanie problemu jest sprawdzenie zabezpieczeń w firmach oraz zmiana hasła w Intel AMT na możliwie skomplikowane, by atakujący nie mógł go łatwo zgadnąć. Warto jednak raz jeszcze zaznaczyć, że ewentualny atak jest możliwy tylko wtedy, gdy wcześniej była szansa na fizyczny dostęp do komputera ofiary, toteż kolejnym zapobiegawczym krokiem jest pilnowanie sprzętu i nie oddawanie go w niepowołane ręce.
14.01.2018 17:15
Zła wiadomość dla użytkowników komputerów wykorzystujących rozwiązania Intela, choć tym razem głównie w firmach. Dopiero co musieli pogodzić się z konsekwencjami luk Meltdown i Spectre i obniżoną wydajnością komputerów po instalacji aktualizacji, a już pojawia się informacja o kolejnej luce w rozwiązaniach firmy, tym razem związanej z AMT – Intel Active Management Technology. Szczegóły przedstawia Harry Sintonen z F-Secure, który odkrył tę podatność jeszcze w 2017 roku.
Luka umożliwia atakującemu uzyskanie zdalnego dostępu do komputerów w ramach firmy, o ile wcześniej posiadał on fizyczny dostęp do jednego z nich, choćby na kilka sekund – to wystarczający czas, by włączyć dodatek i otworzyć sobie furtkę na przyszłość. Luka nie jest nowa, ale Sintonen zwraca uwagę, że nadal jest niebezpieczna i, jak wynika z jego obserwacji, dotyczy wszystkich komputerów, które pod tym kątem przetestował – niezależnie od systemu operacyjnego.
Luka wyszła na jaw, gdy podjęto próbę zdalnego uruchomienia laptopa i udało się z wykorzystaniem standardowego hasła admin w przypadku korzystania z dodatku Intel AMT, co stanowi ominięcie standardowej blokady hasłem ustalonym w BIOS-ie. Sintonen dodaje, że atakującego nie może powstrzymać firewall, a korzystanie z serwera VPN może tylko pogorszyć sprawę, bo dzięki temu atakujący skorzysta teraz także z dodatkowych zasobów w firmie.
Doraźnym sposobem na rozwiązanie problemu jest sprawdzenie zabezpieczeń w firmach oraz zmiana hasła w Intel AMT na możliwie skomplikowane, by atakujący nie mógł go łatwo zgadnąć. Warto jednak raz jeszcze zaznaczyć, że ewentualny atak jest możliwy tylko wtedy, gdy wcześniej była szansa na fizyczny dostęp do komputera ofiary, toteż kolejnym zapobiegawczym krokiem jest pilnowanie sprzętu i nie oddawanie go w niepowołane ręce.
inho
Well-Known Member
- 1 635
- 4 518
Ciekawa wypowiedź Linusa o patchach dla intela: https://lkml.org/lkml/2018/1/21/192
tldr via reddit:
"Intel submitted a patch which was a mix of garbage (ineffective "bug fixing" which wasn't needed at all) and code that activated the security fix in newer Intel models (yes, they are being shitty and not enabling it by default, it would harm their benchmarks...).
Linus is just angry at them for trying to "mask" the latter with afore mentioned garbage code and questions why even submit that, since the code appears to do a bunch of non-sense."
...
...
tldr via reddit:
"Intel submitted a patch which was a mix of garbage (ineffective "bug fixing" which wasn't needed at all) and code that activated the security fix in newer Intel models (yes, they are being shitty and not enabling it by default, it would harm their benchmarks...).
Linus is just angry at them for trying to "mask" the latter with afore mentioned garbage code and questions why even submit that, since the code appears to do a bunch of non-sense."
Ostatnia edycja:
- Moderator
- #78
- 8 902
- 25 803
Osiem chińskich rdzeni jak dwa rdzenie Intela – taka jest póki co cena niezależności
24.01.2018 14:19
Starsi Czytelnicy mogą pamiętać procesory Cyrix, które pod koniec XX wieku cieszyły się u nas sporą popularnością w ówczesnych „składakach” – przede wszystkim ze względu na cenę, bo przecież nie wydajność. Później firma została przejęta przez tajwańską VIA Technologies, która przez całą pierwszą dekadę XXI wieku produkowała energooszczędne (jak na tamte czasy) procesory x86. Jej ostatnie konstrukcje, procesory z 64-bitowymi rdzeniami Isaiah, pokazano w maju 2011 roku. W 2014 roku coś mówiono o odświeżeniu tych czipów, ale na słowach się skończyło. A potem zapadła cisza, przynajmniej na Zachodzie. Komu bowiem mówi coś chińska nazwa Zhaoxin?
Tymczasem już od 2013 roku tajwańska firma, jedna z trzech mających prawa do produkcji procesorów w architekturze x86, w kooperacji z lokalnymi władzami Szanghaju inwestuje w spółkę joint-venture o ciekawej nazwie Zhaoxin. Ciekawej, ponieważ dosłownie można przełożyć ją jako „mnóstwo rdzeni” (zhao – bardzo duża liczba, milion, miliard, nawet bilion, xin – rdzeń, serce, umysł). Spółka ta projektuje procesory x86, produkowane w fabach tajwańskiego TSMC i przeznaczone do tej pory tylko na rynek chiński. Tak przynamniej było z rodzinami ZX-A, ZX-B i ZX-C, których produkcja skończyła się w 2016 roku.
W 2017 roku Zhaoxin pokazał pierwsze inżynieryjne próbki procesorów z serii KX (Kai Xian). Modele z serii KX-5000 Wudaokou, wciąż wykonane w przestarzałej litografii 28 nm, zaskakiwały jednak zwartością całej konstrukcji SoC. Na kostce o powierzchni 187 mm2 umieszczono ponad 2,1 mld tranzystorów (w wersji czterordzeniowej procesora). Do tego taktowanie 2 GHz, kontroler DDR4 z obsługą do 64 GB RAM i magistrala PCI-e 3.0, zintegrowane USB 2.0/3.1 oraz SATA 3. Dostępne były też modele ośmiordzeniowe, w obu wypadkach jednak bez hyperthreadingu. Zintegrowana grafika ma zapewniać rozdzielczość 4K przy 60 Hz, poprzez złącza DisplayPort lub HDMI możliwość podłączenia do trzech ekranów, a także kompatybilność z DirectX 11.1.
Póki co na rynek wchodzi pierwsza generacja. Do sprzedaży w Chinach trafiło pięć modeli serii KX, różniących się liczbą rdzeni, częstotliwością zegara i ilością cache L2. Wszystkie lutowane są do płyty głównej i przeznaczone mają być do komputerów desktopowych, laptopów i urządzeń wbudowanych.
Model Rdzenie / Wątki Częstotliwość zegara
Cache L2
KX-5640 4/4 2,0 GHz 4 MB
KX-5540 4/4 1,8 GHz 4 MB
KX-U5680 8/8 2,0 GHz 8 MB
KX-U5580 8/8 1,8 GHz 8 MB
KX-U5580M 8/8 <=1,8 GHz 8 MB
Jednocześnie Chińczycy pokazali też ośmiordzeniowe procesory KH-20000 (KaisHeng), przeznaczone do urządzeń sieciowych i serwerów, a więc bez zintegrowanej grafiki. Modele KH-25800 i KH-26800 mają po 8 MB cache L2 i różnią się częstotliwością zegara– 1,8 lub 2,0 GHz. Obsługują do 128 GB RAM DDR, oczywiście także moduły ECC i RDIMM.
Chiński producent przyznał, że jego konstrukcja odbiega wciąż wydajnością od procesorów Intela czy AMD. W benchmarku FrizChess ośmiordzeniowy KX-U5680 osiągał 7911 kilowęzłów/s, w benchmarku 7-zip 12122 MIPS, a w Cinebenchu 11.5 równe 4.01 pkt. To poziom dwurdzeniowego procesora Core i3-6100, sporo więc jeszcze pozostało do nadrobienia. Przedstawiciele Zhaoxin zapewnili jednak, że w ciągu dwóch generacji zamierzają osiągnąć porównywalny z amerykańskimi firmami, szczególnie z AMD, na którego architekturze Zen wyraźnie się tu wzorowano (i dzięki temu chińskie czipy są odporne na atak Meltdown).
Kolejnym krokiem ma być wydanie w przyszłym roku procesorów KX-6000 – jak podaje serwis DigiTimes, będą one produkowane już w litografii 16 nm, z zegarem 3 GHz i wsparciem dla pamięci RAM DDR4-3200. Na horyzoncie widać też KX-7000, o którym niewiele wiadomo – tylko to, że wykorzysta pamięci DDR5 i magistralę PCIe 4.0. Spekuluje się, że ta właśnie seria KX-7000 mogłaby być już eksportowana poza rynek chiński.
Tak czy inaczej jedno jest pewne: Chińczycy zbudowali kompletną infrastrukturę do produkcji procesorów x86, dysponują autorską architekturą, planami jej rozwoju, najwyraźniej traktują osiągnięcie niezależności w tej dziedzinie jako cel strategiczny. Może dzisiaj jeszcze wyniki benchmarków nie zachwycają, ale to nie znaczy, że nie przyjdzie dzień, w którym szefowie Intela i AMD zobaczą, że x86 to już nie jest gra dla dwojga.
24.01.2018 14:19
Starsi Czytelnicy mogą pamiętać procesory Cyrix, które pod koniec XX wieku cieszyły się u nas sporą popularnością w ówczesnych „składakach” – przede wszystkim ze względu na cenę, bo przecież nie wydajność. Później firma została przejęta przez tajwańską VIA Technologies, która przez całą pierwszą dekadę XXI wieku produkowała energooszczędne (jak na tamte czasy) procesory x86. Jej ostatnie konstrukcje, procesory z 64-bitowymi rdzeniami Isaiah, pokazano w maju 2011 roku. W 2014 roku coś mówiono o odświeżeniu tych czipów, ale na słowach się skończyło. A potem zapadła cisza, przynajmniej na Zachodzie. Komu bowiem mówi coś chińska nazwa Zhaoxin?
Tymczasem już od 2013 roku tajwańska firma, jedna z trzech mających prawa do produkcji procesorów w architekturze x86, w kooperacji z lokalnymi władzami Szanghaju inwestuje w spółkę joint-venture o ciekawej nazwie Zhaoxin. Ciekawej, ponieważ dosłownie można przełożyć ją jako „mnóstwo rdzeni” (zhao – bardzo duża liczba, milion, miliard, nawet bilion, xin – rdzeń, serce, umysł). Spółka ta projektuje procesory x86, produkowane w fabach tajwańskiego TSMC i przeznaczone do tej pory tylko na rynek chiński. Tak przynamniej było z rodzinami ZX-A, ZX-B i ZX-C, których produkcja skończyła się w 2016 roku.
W 2017 roku Zhaoxin pokazał pierwsze inżynieryjne próbki procesorów z serii KX (Kai Xian). Modele z serii KX-5000 Wudaokou, wciąż wykonane w przestarzałej litografii 28 nm, zaskakiwały jednak zwartością całej konstrukcji SoC. Na kostce o powierzchni 187 mm2 umieszczono ponad 2,1 mld tranzystorów (w wersji czterordzeniowej procesora). Do tego taktowanie 2 GHz, kontroler DDR4 z obsługą do 64 GB RAM i magistrala PCI-e 3.0, zintegrowane USB 2.0/3.1 oraz SATA 3. Dostępne były też modele ośmiordzeniowe, w obu wypadkach jednak bez hyperthreadingu. Zintegrowana grafika ma zapewniać rozdzielczość 4K przy 60 Hz, poprzez złącza DisplayPort lub HDMI możliwość podłączenia do trzech ekranów, a także kompatybilność z DirectX 11.1.
Póki co na rynek wchodzi pierwsza generacja. Do sprzedaży w Chinach trafiło pięć modeli serii KX, różniących się liczbą rdzeni, częstotliwością zegara i ilością cache L2. Wszystkie lutowane są do płyty głównej i przeznaczone mają być do komputerów desktopowych, laptopów i urządzeń wbudowanych.
Model Rdzenie / Wątki Częstotliwość zegara
Cache L2
KX-5640 4/4 2,0 GHz 4 MB
KX-5540 4/4 1,8 GHz 4 MB
KX-U5680 8/8 2,0 GHz 8 MB
KX-U5580 8/8 1,8 GHz 8 MB
KX-U5580M 8/8 <=1,8 GHz 8 MB
Jednocześnie Chińczycy pokazali też ośmiordzeniowe procesory KH-20000 (KaisHeng), przeznaczone do urządzeń sieciowych i serwerów, a więc bez zintegrowanej grafiki. Modele KH-25800 i KH-26800 mają po 8 MB cache L2 i różnią się częstotliwością zegara– 1,8 lub 2,0 GHz. Obsługują do 128 GB RAM DDR, oczywiście także moduły ECC i RDIMM.
Chiński producent przyznał, że jego konstrukcja odbiega wciąż wydajnością od procesorów Intela czy AMD. W benchmarku FrizChess ośmiordzeniowy KX-U5680 osiągał 7911 kilowęzłów/s, w benchmarku 7-zip 12122 MIPS, a w Cinebenchu 11.5 równe 4.01 pkt. To poziom dwurdzeniowego procesora Core i3-6100, sporo więc jeszcze pozostało do nadrobienia. Przedstawiciele Zhaoxin zapewnili jednak, że w ciągu dwóch generacji zamierzają osiągnąć porównywalny z amerykańskimi firmami, szczególnie z AMD, na którego architekturze Zen wyraźnie się tu wzorowano (i dzięki temu chińskie czipy są odporne na atak Meltdown).
Kolejnym krokiem ma być wydanie w przyszłym roku procesorów KX-6000 – jak podaje serwis DigiTimes, będą one produkowane już w litografii 16 nm, z zegarem 3 GHz i wsparciem dla pamięci RAM DDR4-3200. Na horyzoncie widać też KX-7000, o którym niewiele wiadomo – tylko to, że wykorzysta pamięci DDR5 i magistralę PCIe 4.0. Spekuluje się, że ta właśnie seria KX-7000 mogłaby być już eksportowana poza rynek chiński.
Tak czy inaczej jedno jest pewne: Chińczycy zbudowali kompletną infrastrukturę do produkcji procesorów x86, dysponują autorską architekturą, planami jej rozwoju, najwyraźniej traktują osiągnięcie niezależności w tej dziedzinie jako cel strategiczny. Może dzisiaj jeszcze wyniki benchmarków nie zachwycają, ale to nie znaczy, że nie przyjdzie dzień, w którym szefowie Intela i AMD zobaczą, że x86 to już nie jest gra dla dwojga.
Doman
Well-Known Member
- 1 221
- 4 052
insidera w spółce obowiązują pewne reguły, np. nie może sprzedawać akcji zatajając negatywne info o spółce, bo to jest mocne ruchanie akcjonariuszy. Ja już tak zostałem kiedyś wyruchany, więc jestem na to czuły
Nie potrafię sobie wyobrazić żadnego zdroworozsądkowego systemu giełdowego gdzie taki proceder nie byłby piętnowany.To, że co roku sprzedawał nie zmienia postaci rzeczy.
kompowiec
freetard
- 2 582
- 2 648
RISC-V okazał się zwycięzcą w tym wyścigu - jest całkowicie odporny:
https://riscv.org/2018/01/more-secure-world-risc-v-isa/
https://riscv.org/2018/01/more-secure-world-risc-v-isa/