Intel CPU design flaw |Meltdown, Spectre a ine|

[DOC_ZENITH]

Obecně vše do 5x86 je v klidu, až Pentia přišly s branch prediction. Co se moderních CPU týče, tak poslední CPU co byl in.order bez branch prediction byl 32nm Atom.

[Jája]

Nevíte jak je to se systémem s AMD CPU na windows? Tam se ten opravný patch od microsoftu taky automaticky nainstaluje? a má to to pak vliv na rychlost, nebo se to neaplikuje?
U linuxu pry amd vydava nějaký vlastní patch/ dá se ten pro intel vypnout, ale u windows jsem nikde nic takového nečetl.

[hnizdo]

Takže jo, v Enterprise/Corporate sféře je to průser jak hrom

To je zajimave. Kolega co spravuje soukroma datacentra jedne nadnarodni korporace implementoval protiopatreni pred dvema mesici, a misto komentare k soucasnemu havoku si tuka na hlavu....

https://semiaccurate.com/2018/01/04/kai ... rketshare/

Charlie Demerijan? By mne zajimalo jestli mu nekdo s jeho historii za ty jeho vyplody opravdu plati.

[Krteq]

To je zajimave. Kolega co spravuje soukroma datacentra jedne nadnarodni korporace implementoval protiopatreni pred dvema mesici, a misto komentare k soucasnemu havoku si tuka na hlavu....

Zajímavé, jak mohl implementovat protiopatření, když před dvěma měsíci ještě žádné nebylo? Nebo maká pro Microsoft/Google/Intel kteří o tom věděli od června?

[hnizdo]

Velmi spravna pripominka, ale od cloveka co dela cloud stejne velmi prekvapiva. Mission critical zakaznici totiz echo dostali okamzite, jakmile se zacalo na oprave stavet, tedy asi pred pul rokem. Existuji systemy, kde i vyrazeni z provozu v pripade ohrozeni je lepsi nez cekat na opravu libovolne dlouho nebo libovolne kratce. Napriklad mamuti systemy pro centralni spravu financi. Nicmene k tomu nedoslo, byznys s top level supportem samozrejme a logicky na opravach spolupracoval a testoval davno pred zverejnenim.

[Krteq]

...

No a na čem ty systémy jedou? Protože *NIX ani Win systémy žádnou dřívější opravu nedostali a na mainframech nehostuješ cloud a nejedou na Intel CPUs.

[Eddward]

Nvidia vydala dnes ovladace s fixami pre Spectre
https://pctforum.tyden.cz/viewtopic.php ... 1#p9377811

Browser check pre Spectre
http://xlab.tencent.com/special/spectre ... check.html

[hnizdo]

Samozrejme provozuji i x64/Win, ale i platformy, jejichz jmena jsem neslysel. To co ty oznacujes za vydanou opravu neni v zadnem pripade prvni verze. Velky zvirata je "maji" davno, protoze je spoluvyvinuli.

Eddward /pardon, mozno presunout

[DOC_ZENITH]

Možná podceňujetě komplexnost a složitost možného využití těchto zranitelností. Jsou stará jak branch prediction sama a nyní z toho má bejt po 27 letech poplach?

Celé je to o tom že na chvíli v cache můžou bejt data od jinud (i protected data) a pokud se na ně branch prediction podívá a v ten moment se ti je podaři v tu chvíli zkopírovat než se cache flushne kvůli missprediction, tak je máte. Ale jaká data? O tom nerozhodnete, nefunguje to na principu "chci získat data z kernelu v oblasti XYZ kde je uložené heslo!" Každej komp má v paměti něco jiného a někde jinde + branch prediction se chová vždy jinak v závislosti na tom co na CPU zrovna běží. Úspěšnej útok bude tedy stát dost hodně úsilí a zkoumání konkrétní běžící instance OS než se vůbec k něčemu kloudnému dopracujete. + si moc nedovedu představit jeho využití k externím útokům, ala to už musim mít můj vlastní na to modlej program běžící na onom stroji pod mou kontrolou abych mohl podniknout onen útok. Já nejsem žádnej hacker, ale fakt mi to nepřijde jako ňákej easy exploit.

+ Mi i skoro připadá že by to šlo ošetřit anitivirem kterej by detekoval pokus o kopii dat z cache co maj původ v oblasti kde nebylo oprávnění.

[yuri.cs]

to už musim mít můj vlastní na to modlej program běžící na onom stroji pod mou kontrolou abych mohl podniknout onen útok. Já nejsem žádnej hacker, ale fakt mi to nepřijde jako ňákej easy exploit.

+ Mi i skoro připadá že by to šlo ošetřit anitivirem kterej by detekoval pokus o kopii dat z cache co maj původ v oblasti kde nebylo oprávnění.

Wut... VMs? Kontainerizace? PaaS? IaaS?

Btw antivir je sproste slovo

[Jája]

Záplaty pro Meltdown a Spectre jsou vysoce problematické na starších CPU od AMD
https://www.svethardware.cz/zaplaty-pro ... -amd/45840

[DOC_ZENITH]

Tohle jsou všechno virtuály a na tohle by mnělo stačit ošetřebí samotného hosta, ala SW třeba od Vmwaru, + tyhle stroje jedou obvykle ESX a pod, ty ani nejedou linux či win. Furt nevim proč patchovat celej host OS typu windows a dát si tam zpomalovač přistupu k diskům třeba eh. Samotnej host virtuálu může určit jaká paměť a kde pro něj máí bejt vyhraněná. Nemusí se o oddělení starat OS a zpomalovat naprosto vše.

[yuri.cs]

Vsechno virtualy? Docker, LXC, Zones, AWS/Google cutomizace nic?

[DOC_ZENITH]

OK, fajn, máš pravdu. jen se mi prostě nelíbí tenhle současnej "fix" kterej je na úrovni Os a je aplikován komplet na vše i takové věci jako diskové operace.

[Eddward]

jak aplikovan na vse... IMO fix robi to co ma, to ze spomaluje disky je bohuzial vedlajsi efekt celeho principu toho fixu... uvidime, mozno sa casom najdu ine techniky ako to zaplatat efektivnejsie... toto je zrejme prva "hruba" zaplata a bude sa to dalej ladit... uvidime mozno za pol roka ako to bude vyzerat

[DOC_ZENITH]

Já bych mnohem raději viděl méně hrubé záplaty, něco jako možnost si u každého programu zvolit jestli bude separovanej nebo ne.

[RiCK]

To ale nemůžeš vědet, kterej program je/bude napadnutý tou mrdkou která pak bude lézt do cache.

[DOC_ZENITH]

Ne, spíš budu vědět kterej neni (ala vše co konkrétně teď třeba mam) ať je klidně by default on, ale mnělo by to jít vypnout pro konkrétní procesy.

[Krteq]

Jak to chceš vypnout když to máš v jádru OS?

[DOC_ZENITH]

No právě. Proč se řeší odělení paměti jádra a programů modifikací jádra a plošnou změnou chování. Proč se to neřeší na úrovni správy paměti a jednotlivejch apliklací. Tohle zavání ńákym fixem horkou jehlou.