Ошибка в процах Intel украдет вашу крипту!

[pofigist]

Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.

Да похеру им все. Хотят быстрее заработать и делают кое как.

[1714844409]

1714844409

[1714844409]

1714844409

[y6uBaToP]

Вот только хотел себе компьютер купить на базе ИНТЕЛ, теперь буду думать что то другое как страшно!!

[Fidelius]

Если это правда, то сейчас все ломанутся менять процики. Но мне кажется, что появится какая-то защитная функция, которую разработчики будут продавать, а потом еще выяснится, что никакой угрозы не было, а кто-то на этом наварится просто.

[yokotoka]

Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.

Там всё сложнее. Сам механизм предсказания ветвлений, вшитый в проц, игнорирует защиту памяти по соображениям производительности. Тут косяк by design.

И пока непонятно как сделать аппаратный фикс в новых моделях так, чтобы и скорость сохранилась и алгоритм работал.

Просто мы достигли того момента, когда механизм, дающий ускорение в разы настолько сложен, что предвидеть все баги невозможно. А без него откатимся лет на 15 назад.

[juni4000]

Со Spectre ситуация сложнее, и простым патчем проблему не решить. По словам экспертов, Intel придется полностью изменять архитектуру всех современных процессоров, а это может привести к тому, что пользователей будут подталкивать к покупке устройств на новом поколении процессоров.

Так чего акции Intel падают, это же золотые горы! Кого мотивирует покупать проц, стоимостью больше в 2 раза, а по производительности выше на 10% (условно)? А угроза от хакеров это серьезно.
Напоминает криптобиржи которые страдают от хакеров, а владелец потом покупает недвижимость на островах.

[Loran Lann]

Ничего себе новость, может это фейк, но на всякий случай не буду включать старенький ноутбук на котором стоят кошельки.

К сожалению это не фейк и, благодаря тому что раструбили на весь мир об этом, куча народа уже ринулась искать инструменты для использования этой уязвимости и даже нашли их.

[deisik]

Вот так и новости подкатили!

CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?

Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.
И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится.

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

[Loran Lann]

Вот так и новости подкатили!

CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?

Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.
И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится.

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

Насколько я помню там не нужен девиртуализатор, потому как под вируталку задействуются те же области памяти и в таком же порядке что и для операционной системы.

[yokotoka]

Скупайте процы AMD, глупцы!

На волне этой новости они гарантированно подскочат в цене и уменьшатся в доступности.

[admtall]

Похоже на то как огрызки режут производительность своих устройств, чтобы зомбогрызки покупали самые новые айфоны, только Intel нашли более менее приличный довод в пользу этого)

[deisik]

Вот так и новости подкатили!

CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?

Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.
И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится.

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

Насколько я помню там не нужен девиртуализатор, потому как под вируталку задействуются те же области памяти и в таком же порядке что и для операционной системы.

Ждём патча от VMware

С блэкджеком и шлюхами (зачёркнуто) шифрованием памяти и переадресацией (если, конечно, там действительно всё так печально с памятью). В общем я зашёл на сайт AMD и там написано, что для AMD-шных процев актуален только один тип уязвимости из трёх вариантов, который устраняется установкой патча, при пренебрежимо малой потере производительности, а именно "Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected". Кто знает, Линус уже запилил обновление для ядра?

[yokotoka]

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

Поиск по сигнатурам может найти вполне определённые последовательности, после которых начинаются данные, или сами данные, когда они имеют определенные структуры. Или выйти на структуры данных, в которых хранятся адреса памяти, по которым можно вытащить sensetive-информацию.

В общем, представьте, что у вас на компе запущен чей-то ArtMoney. И ищет он по определенным характерным паттернам ваши секреты - документы, закрытые ключи и т.п. Так как все это хранится в структурах, которые крайне редко меняются, то найти можно много чего интересного с большой вероятностью. Переписать этот ArtMoney ничего не может, но скопировать злоумышленнику - легко. А тот уже со своего компа сможет инициировать то, что нужно, например перекинуть крипту с вашего кошелька на свой.

Это если в лоб по-быстрому делать для общего случая. А можно и похитрее - лазить в таблицы процессов, смотреть там определенные ячейки памяти... Многое из того, что вы делаете со своим компьютером - находится в памяти. И кейлоггер клавиатуры тоже, да. Особенно в Windows 10. Телеметрия же. Ради вашей же собственной "безопасности"!

[Castle07]

Я думаю, пока детали не раскрываются, и Intel не делает официальных заявлений, нам остаётся только ждать, когда можно будет полностью оценить серьёзность озвученной проблемы.
А пока что, новость больше похожа на заявление от представителей жёлтой прессы.

[startorr]

Особенно обидно за Linux, понятно дело что не сообщества косяк, а аппаратная лажа, но все равно не хочется терять треть мощностей из-за ошибки недоразработчиков, недоинженеров и недопрограммистов.

[yokotoka]

Я думаю, пока детали не раскрываются, и Intel не делает официальных заявлений, нам остаётся только ждать, когда можно будет полностью оценить серьёзность озвученной проблемы.
А пока что, новость больше похожа на заявление от представителей жёлтой прессы.

Ага, а выпущенные патчи для всех систем со статусом "критические", которые замедляют в том числе корпоративные системы - это так, поссать выйти?

На форумах хостеров и облачных провайдеров уже вой. Лёгким движением руки их бизнес теряет 20-30% ресурсов.
С СУБД (например Postgres) и виртуализацией вообще жопа - там просадки заходят за 50%, т.к. активно используется кеш процессора.

С heartbleed так же было. Сначала народ не верил, а потом, когда раскрыли все детали и появились рабочие эксплоиты, дампящие память любых серверов - стало сильно не смешно.

В общем, сегодня очередной день, когда жизнь разделилась на "до" и "после".

[orisbar]

Интересно, а менеджеры паролей типа от Касперского и прочие, которые пароли сами подставляют могут помочь от подобных зловредов, там же они в криптопамяти хранятся и ручками не вводятся.

[CryptoKush]

А если не Виндовс 10 то что делать?

[chimk]

А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7

[yokotoka]

А если не Виндовс 10 то что делать?

Если макось - дождаться и накатить апдейт.
Если линух - накатить апдейт уже сейчас.

А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7

Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.

[Goodvin]

Теперь производители процессоров будут зарабатывать. Выпустят новое поколение которое расскажут , лучше и производительнее, чем было. Вообщем все как всегда, продажи подымут и все по новой.

как всегда - такая себе борьба добра со злом, но за бабки. Еще этого не хватало, теперь сиди и думай что с этим всем делать, и когда выпустят новый процессор.