Intel CPU design flaw |Meltdown, Spectre a ine|

[DOC_ZENITH]

Funny je že ta díra se lépe zneužívá na systémech co maj patchnutej spectre. Jo jo, to je jak lepit zduřelou pneumatiku, zalepíš jednu díru a vedle se ti udělá jiná větší.

Já teda nelepim no, radši si necham plnej výkon a kdyby někdo chtěl zaútočit na můj 8 let neaktulizovanej win7 stroj bude mít mnohem snazší příležitosti než díry v CPU.

[hnizdo]

Je to zase jako s tim uzasnym sprejem na moly...

[Krteq]

Ono to s tím souborem nově objevených zranitelností, aka MDS, nebude zas tak jednoduché - viz. článek od Honzy Olšana

Objeveny nové díry v procesorech Intel: zranitelnosti MDS. Rizika podobná jako u Spectre

[hnizdo]

CVSS severity low to medium, patche jsou venku. Muzeme spat dal.

Akorat by mne zajimalo, jestli uz jsou biosy (pokud jsou potreba). Intel jasne deklaroval, ze je dorucuje (prubehovy cas) vendorum.

[Eddward]

Ako ja tiez v zasade nelepim, mam stary bios, este ten prvy a aj vypnute patche cez registre, teda tie prve...
väcsina side channel utokov vytvorenych v labakoch su pre jednotlivca asi take pravdepodobne ako ze ma trafi kamen z vesmiru... nech si to patchuju firmy a datacentra... rizika beriem, ale pokial neuvidim informaciu ze bol niekto realne napadnuty I don't care...
Co ponuka Windows update to instalujem, ostatny software aktualizujem a to je vsetko...

Celkovo je to ale zla a smutna situacia ako sa Intel doteraz staval k celym navrhom architektur, bud zamerne s cielom maximalizovat vykon pricom si bol vedomy moznych rizik alebo velmi amatersky ked tuto stranku vobec nebral do uvahy...
v podstate ich aj tu dobehlo to, ze dekadu nemusel inovovat nic cim si z jednej na druhu architekturu prenasali okrem ineho aj tieto problemy.... AMD preco nema problem, lebo nema 10 rokov staru architekturu...
typicky debilizmus monopolov...

[hnizdo]

Tak BIOSy zjevne jeste nejsou, in production?

https://www.intel.com/content/dam/www/p ... 132019.pdf

[werygood]

Celkovo je to ale zla a smutna situacia ako sa Intel doteraz staval k celym navrhom architektur, bud zamerne s cielom maximalizovat vykon pricom si bol vedomy moznych rizik alebo velmi amatersky ked tuto stranku vobec nebral do uvahy...
v podstate ich aj tu dobehlo to, ze dekadu nemusel inovovat nic cim si z jednej na druhu architekturu prenasali okrem ineho aj tieto problemy.... AMD preco nema problem, lebo nema 10 rokov staru architekturu...
typicky debilizmus monopolov...

Dokud něco funguje dobře, tak se do toho nerýpe...

[HEAD]

Funny je že ta díra se lépe zneužívá na systémech co maj patchnutej spectre. Jo jo, to je jak lepit zduřelou pneumatiku, zalepíš jednu díru a vedle se ti udělá jiná větší.

Já teda nelepim no, radši si necham plnej výkon a kdyby někdo chtěl zaútočit na můj 8 let neaktulizovanej win7 stroj bude mít mnohem snazší příležitosti než díry v CPU.

Taky na to kaslu.

[hnizdo]

Ja pouzivam vsechny mitigace, a taky na to kaslu

[DOC_ZENITH]

Taka proč si zybtečně ubírat výkon, jak meltdown tak spectre mitigace jdou vypnout, teda, pokud si je tam člověk neflashne už s biosem.

Spectre se vypnou přes utilitu "inspectre" a meltdown se zruší přejmenováním "mcupdateIntel.dll" v system32 složce.

[hnizdo]

ja jsem zadny pokles vykonu (krom syntetestu) nezaznamenal, tak proc to vypinat

[killerek]

Ten propad u Javy bude neprijemny pro Checkpoint mgmt server, kde server zpracovava na Jave zozrazeni managementu firewallu pro uzivatele.

[Jan Olšan]

Já ty mitigace nechal zapnutý všude/všechny (2600K u našich, můj notes/tablet) - jestli se někdě něco zpomalí neřeším, to se může zpomalit i opravama čistě softwarovejch problémů na straně OS/browseru (a taky tím, jak se vyvíjí AV, žejo...), tak co. Zvlášť jestli je ten dopad hlavně na rychlost úložiště, tak mě to moc nezajímá. Prostě ať se nainstalujou všech bezpečnostní patche a nemusím na to myslet.

Ale kdyby mi řekli, že se *musí* vypnout HT, tak to bych asi názor změnil. Protože to už uškodí docela dost. Naštěstí tak daleko to ještě nedošlo.

[havli]

Cekal jsem, ze to bude horsi na systemu se starym BIOSem a OS bez aktualizaci... vsechno z doby, nez tohle hledani nejruznejsich chyb vypuklo. A nebo to detekuje blbe, taky moznost.

[Jan Olšan]

Cekal jsem, ze to bude horsi na systemu se starym BIOSem a OS bez aktualizaci... vsechno z doby, nez tohle hledani nejruznejsich chyb vypuklo. A nebo to detekuje blbe, taky moznost.

To je asi chyba detekce, Coffee Lake by mělo trpět na úplně všechny ty bugy, co jsou tam uvedený jako "unaffected".

[havli]

Asi jo... nicmene ja to neresim. Kdyz uz by utocnik dokazal spustit na PC svuj kod, tak se da skodit x ruznymy zpusoby bez ohledu na tyhle bezpecnostni diry.

[rbclass]

Ale kdyby mi řekli, že se *musí* vypnout HT, tak to bych asi názor změnil. Protože to už uškodí docela dost. Naštěstí tak daleko to ještě nedošlo.

tak nieco take ale rekli https://www.svethardware.cz/intel-hlasi ... -cpu/49322

[hnizdo]

Intel clarified that it​'s not recommending everyone to disable Hyper​-Threading, but that some of its customers should consider the option depending on their security needs:

"Once these updates are applied, it may be appropriate for some customers to consider additional steps. This includes customers who cannot guarantee that trusted software is running on their system​(s​) and are using Simultaneous Multi​-Threading ​(SMT​). In these cases, customers should consider how they utilize SMT for their particular workload​(s​), guidance from their OS and VMM software providers, and the security threat model for their particular environment. Because these factors will vary considerably by customer, Intel is not recommending that Intel® HT be disabled, and it​'s important to understand that doing so does not alone provide protection against MDS.​"

[Krteq]

Dopad MDS mitigací na výkon pod Linuxem, včetně testů mitigations ON/OFF pro předchozí "Spectre/Meltdown/L1TF" vulnerabilities

Phoronix.com - The Performance Impact Of MDS / Zombieload Plus The Overall Cost Now Of Spectre/Meltdown/L1TF/MDS

[Krteq]

Jen pro zajímavost...

Intel Tried to Bribe Dutch University to Suppress Knowledge of MDS Vulnerability
VU ontdekt megalek in Intel-chips (NL)

Ve zkratce:

• Holandská univerzita VU Amsterdam, resp. jejich security research skupina, je jedním z nejaktivnějších v objevování zranitelností v procesorech a má na svědomí podstatnou část objevených zranitelností
• Intel jim zaplatil $100,000 (89,000 EUR) z jejich věřejného bounty programu (standardní procedura a odměna za objevení zranitelnosti).
• Skupina potvrdila a dala Intelu čas standardních 6 měsíců (do konce května) na opravu před uveřejněním dokumentů s detaily ohledně zranitelnosti
• Intel požadoval ještě dalších 6 měsíců než budou detaily vulnerabilit uveřejněny. (hodně nestandardní)
• Skupina odmítla
• Intel jim nabídl nejprve $40k, pak dalších $80k navrch aby snížili severitu/uroveň zranitelnosti (jasný pokus o úplatek)
• Skupina odmítla snížit severitu/uroveň zranitelnosti a uveřejnila detaily v květnu jak bylo plánováno.