yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 12:45:29 PM |
|
Вот так и новости подкатили!CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится. Экстренное обновление для Win 10Для линуксов тоже выпущены патчи - срочно обновитесь через менеджер обновлений/пересборку ядра, если суровые гентушники. Несколько фактов: - ARM тоже подвержены этой атаке. Обновление получат не только лишь все. Android сосёт.
- Есть побочный эффект от патча - теперь ваш компьютер будет работать, в среднем, на 2/3 своей мощности. В худших случаях - тормозить в 2 раза.
- Владельцы процессоров от AMD вроде пока ликуют.
|
|
|
|
Gorodcoin
Newbie
Offline
Activity: 264
Merit: 0
|
|
January 04, 2018, 01:16:28 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
|
|
|
|
4FF
|
|
January 04, 2018, 01:34:47 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать?
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 01:48:18 PM Merited by xandry (3), chimk (1) |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Вы не поняли. Теперь из, например, браузера можно прочитать память ЛЮБОГО процесса. А память из соображений производительности не всегда очищается. И там может остаться что угодно - пароли, ключи, кошельки и т.п. И проблема в том, что можно прочитать не просто память процесса, который крутит браузер, а память АБСОЛЮТНО ЛЮБОГО процесса в системе, даже ядра, даже гипервизора, даже неба, даже Аллаха. Вы можете на хостинг или VPS залить скрипт, который нагнёт всех соседей по этому хостингу, например. И никакие защиты на уровне памяти и проца не спасут. Что-то подобное было недавно с уязвимостью heartbleed. Там через запросы к SSH можно было прочесть память сервера. И тогда вой на весь интернет был, что можно сдампить сервак и найти что угодно - от паролей для входа на сервер, до паролей и кошельков крупных криптобирж. Хотя та уязвимость затрагивала только серваки с SSH. Данная уязвимость затрагивает ПРАКТИЧЕСКИ ЛЮБОЙ компьютер и смартфон. Память можно читать хоть из вредоносного JS-скрипта, который встраивается на раз, и отправлять наиболее интересные участки к себе на сервер. Если получен гостевой доступ к серверу с возможностью исполнять ограниченный код - можно относительно просто получить рут на этом серваке. Выводы делайте сами.
|
|
|
|
chimk
|
|
January 04, 2018, 01:53:55 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 02:05:49 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности. Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую.
|
|
|
|
Tydexize
Member
Offline
Activity: 266
Merit: 10
|
|
January 04, 2018, 02:07:31 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать? Если бы Вы перешли по ссылке из первого поста, то обнаружили бы, что проблемы в том числе и у AMD и у ARM архитектуре, а от сюда подвержены опасности даже "Байкалы" отечественного производства, а вот "Эвересты" такой проблемы не имеют. Пока лучший вариант, поставить патчи и ждать выхода новых процессоров. Кстати, патчи снижают производительность процессоров, в некоторых задачах, до 30%. Короче ситуация очень неприятная.
|
|
|
|
danaec
Jr. Member
Offline
Activity: 98
Merit: 3
|
|
January 04, 2018, 02:12:09 PM |
|
Как я понимаю, самый лучший и не вызывающий торможения патч - это тупо поменять процессор (ну и все прочее, вместе с ним, конечно), раз уж уязвимость аппаратная? Впервые так радует, что не пользуюсь Интелом...
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 02:16:06 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать? Если бы Вы перешли по ссылке из первого поста, то обнаружили бы, что проблемы в том числе и у AMD и у ARM архитектуре, а от сюда подвержены опасности даже "Байкалы" отечественного производства, а вот "Эвересты" такой проблемы не имеют. Пока лучший вариант, поставить патчи и ждать выхода новых процессоров. Кстати, патчи снижают производительность процессоров, в некоторых задачах, до 30%. Короче ситуация очень неприятная. Из комментов к той статье про AMD: AMD с ARM также уязвимы, но атаку реализовать сложнее. AMD уязвим только к первому виду атаки, и закрыть уязвимость можно без потери производительности. Не надо их в одну кучу с интелом и армом смешивать.
|
|
|
|
Gorodcoin
Newbie
Offline
Activity: 264
Merit: 0
|
|
January 04, 2018, 02:24:13 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать? Куки можно было читать еще в далеком 1998 году, как они появились. Это от процессора не зависит.
|
|
|
|
9Pasha
Newbie
Offline
Activity: 58
Merit: 0
|
|
January 04, 2018, 02:24:55 PM |
|
Intel спецом выпустила данную новость, чтобы ее акции упали. Сейчас перезакупится и все исправят. Скажут - обычный глюк.
|
|
|
|
Gorodcoin
Newbie
Offline
Activity: 264
Merit: 0
|
|
January 04, 2018, 02:26:18 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Вы не поняли. Теперь из, например, браузера можно прочитать память ЛЮБОГО процесса. А память из соображений производительности не всегда очищается. И там может остаться что угодно - пароли, ключи, кошельки и т.п. И проблема в том, что можно прочитать не просто память процесса, который крутит браузер, а память АБСОЛЮТНО ЛЮБОГО процесса в системе, даже ядра, даже гипервизора, даже неба, даже Аллаха. Вы можете на хостинг или VPS залить скрипт, который нагнёт всех соседей по этому хостингу, например. И никакие защиты на уровне памяти и проца не спасут. Что-то подобное было недавно с уязвимостью heartbleed. Там через запросы к SSH можно было прочесть память сервера. И тогда вой на весь интернет был, что можно сдампить сервак и найти что угодно - от паролей для входа на сервер, до паролей и кошельков крупных криптобирж. Хотя та уязвимость затрагивала только серваки с SSH. Данная уязвимость затрагивает ПРАКТИЧЕСКИ ЛЮБОЙ компьютер и смартфон. Память можно читать хоть из вредоносного JS-скрипта, который встраивается на раз, и отправлять наиболее интересные участки к себе на сервер. Если получен гостевой доступ к серверу с возможностью исполнять ограниченный код - можно относительно просто получить рут на этом серваке. Выводы делайте сами. Ну так проблема в основном у хостеров, которые по триста виртуалок запускают на одном сервере. Обычному человеку тут думаю бояться нечего. Главное хрень всякую на ставить в виде плагинов для хрома.
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 02:44:21 PM |
|
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Вы не поняли. Теперь из, например, браузера можно прочитать память ЛЮБОГО процесса. А память из соображений производительности не всегда очищается. И там может остаться что угодно - пароли, ключи, кошельки и т.п. И проблема в том, что можно прочитать не просто память процесса, который крутит браузер, а память АБСОЛЮТНО ЛЮБОГО процесса в системе, даже ядра, даже гипервизора, даже неба, даже Аллаха. Вы можете на хостинг или VPS залить скрипт, который нагнёт всех соседей по этому хостингу, например. И никакие защиты на уровне памяти и проца не спасут. Что-то подобное было недавно с уязвимостью heartbleed. Там через запросы к SSH можно было прочесть память сервера. И тогда вой на весь интернет был, что можно сдампить сервак и найти что угодно - от паролей для входа на сервер, до паролей и кошельков крупных криптобирж. Хотя та уязвимость затрагивала только серваки с SSH. Данная уязвимость затрагивает ПРАКТИЧЕСКИ ЛЮБОЙ компьютер и смартфон. Память можно читать хоть из вредоносного JS-скрипта, который встраивается на раз, и отправлять наиболее интересные участки к себе на сервер. Если получен гостевой доступ к серверу с возможностью исполнять ограниченный код - можно относительно просто получить рут на этом серваке. Выводы делайте сами. Ну так проблема в основном у хостеров, которые по триста виртуалок запускают на одном сервере. Обычному человеку тут думаю бояться нечего. Главное хрень всякую на ставить в виде плагинов для хрома. Проблема именно у вас. Любой сайт, на который вы заходите может выполнить JS, эксплуатирующий эту узязвимость. Даже не специально - сайт могут взломать злоумышленники и подсунуть туда этот JS. Всё очень серьёзно. Намного серьёзнее js-майнеров.
|
|
|
|
ts314
Newbie
Offline
Activity: 178
Merit: 0
|
|
January 04, 2018, 02:50:43 PM |
|
Крику то в СМИ. При этом не зафиксировано ни одного факта атаки.
|
|
|
|
Vicktorchan
Member
Offline
Activity: 280
Merit: 11
AUTOBAY | Buy Your First Car With Cryptocurrency |
|
|
January 04, 2018, 02:52:46 PM |
|
А разве нельзя привязку к IP сделать и авторизацию по СМС на телефон. Вебмани, например, давно такую систему использует. При этом, даже зная пароль, злоумышленник не сможет получить доступ к кошельку. И железо тоже привязывается.
|
|
|
|
petrcoin
|
|
January 04, 2018, 02:54:31 PM |
|
Теперь производители процессоров будут зарабатывать. Выпустят новое поколение которое расскажут , лучше и производительнее, чем было. Вообщем все как всегда, продажи подымут и все по новой.
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 02:55:54 PM Last edit: February 01, 2022, 04:51:21 PM by Xal0lex |
|
Крику то в СМИ. При этом не зафиксировано ни одного факта атаки.
Атака не оставляет никаких следов. Это раз. Подождите. У вирусописателей сейчас бессонные ночи в предвкушении заработков. Это два. Вероятно, что уязвимость известна давно в некоторых кругах и уже была использована неоднократно. Это три. А разве нельзя привязку к IP сделать и авторизацию по СМС на телефон. Вебмани, например, давно такую систему использует. При этом, даже зная пароль, злоумышленник не сможет получить доступ к кошельку. И железо тоже привязывается.
Можно. Если у вас онлайн-кошелек и вы доверяете всю свою крипту (закрытые ключи) каким-то неизвестным левым людям. Нельзя. Если у вас официальный или хранящий данные локально кошелек, который никуда закрытые ключи не передает и оставляет на компе. Если ваш закрытый ключ скомпрометирован (читай: прочитан) - считайте что крипты у вас больше нет.
|
|
|
|
Spooknow
|
|
January 04, 2018, 03:04:29 PM |
|
Короче теперь раз не только у интела но и у всех остальных производителей вышли такие баги надо срочно покупать аппаратные кошельки. Но вот будет смешно если и их тоже легко будет взломать тем же методом.
|
|
|
|
witcher_sense
Legendary
Offline
Activity: 2422
Merit: 4397
🔐BitcoinMessage.Tools🔑
|
|
January 04, 2018, 04:26:42 PM |
|
Владельцы процессоров от AMD вроде пока ликуют. Хоть в чем-то они оказались лучше Intel
|
|
|
|
olenevod
|
|
January 04, 2018, 04:36:38 PM |
|
Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.
|
|
|
|
|