On 1/5/18 8:38 AM, Valentin Nechayev wrote:

На каких? Meltdown и сейчас не работает на AMD, а Intel подвержен ещё начиная с Pentium Pro. И будет подвержен минимум еще одну серию (2018 года), я полагаю. Они просто не успеют ничего сделать. Вероятно, к 2019 году что-то появится на замену.

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Hi

С AMD - я так понимаю, просто не разбирались пока.

"Итак, по словам AMD, благодаря архитектурным особенностям её x86-кристаллов возможность атаки с помощью Meltdown (Rogue Data Cache Load) полностью исключена. В отличие от большинства процессоров Intel, выпущенных после 2015 года, и ряда CPU-ядер ARM Cortex-A и Cortex-R. Со Spectre несколько сложнее. В случае с вариантом 2 (Branch Target Injection) AMD, ссылаясь на свою архитектуру, уверяет, что риск такой успешной атаки «почти нулевой» (пока ни один специалист не смог доказать её применимость с чипами компании). Но процессоры AMD действительно уязвимы к варианту 1 (Bounds Check Bypass). Впрочем, как уверяет производитель, проблема уже решена программными заплатками для операционных систем, которые либо выпущены, либо вот-вот появятся. Важнее же всего тот факт, что AMD обещает ничтожное влияние заплаток на производительность системы." https://3dnews.ru/963663 -- Best regards, Mykola 2018-01-05 12:02 GMT+02:00 Paul Arakelyan :

Ну хотя б на "любимце голодранцев" Xeon L5639 :) и на первых Core2... С AMD - я так понимаю, просто не разбирались пока. Интересно ещё одно - решаемо ли это через "cpu microcode update" ? Можно ж просто выключить предсказатель ветвлений...

-- Best regards, Paul Arakelyan. _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Интересно, сколько AMD заплатил за обнаружение этих дырок в Intel? ;) 5 січня 2018 р. 12:28:21 EET, Valentin Nechayev написав:

Fri, Jan 05, 2018 at 12:02:22, unisol wrote about "Re: [uanog] Project Zero: В Новый Год - с новым багом!":

...

Интересно ещё одно - решаемо ли это через "cpu microcode update" ? Можно ж просто выключить предсказатель ветвлений...

И потерять в скорости раз в пять? Вряд ли на это пойдут...

-netch- _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Відправлено з мого Android пристрою з K-9 Mail. Вибачте за стислість.

Ключевым в ответе Интела можно считать - "не только мы мудаки" :) остальное - вода. On 1/5/18 3:46 PM, Mykola Ulianytskyi wrote:

Subj: Официальное заявление Intel по поводу обнаруженной критической уязвимости

Вчерашняя новость о том, что в процессорах Intel была обнаружена критическая уязвимость, исправления которой может значительно повлиять на производительность этих самых процессоров, взбудоражила общественность. Компания Intel просто не могла не отреагировать на это, и поэтому опубликовала соответствующий пресс-релиз, полный текст которого мы постарались максимально точно перевести на русский:

"Intel и другие технологические компании были ознакомлены с новыми исследованиями в области безопасности, описывающими программные методы анализа, которые при использовании в злонамеренных целях могут собирать конфиденциальные данные с вычислительных устройств. Intel полагает, что эксплойты [построенные на использовании этой уязвимости] не могут повредить, изменить или удалить данные.

Недавние сообщения о том, что эксплойты, вызванные этой "ошибкой" или "недостатком", уникальны для продуктов Intel, неверны. Основываясь на проведённом, на сегодняшний день анализе, многие типы вычислительных устройств – с множеством процессоров и операционных систем от разных производителей – восприимчивы к данной уязвимости.

Intel стремится к безопасности своих продуктов и клиентов, и тесно сотрудничает со многими другими технологическими компаниями, включая AMD, ARM Holdings и несколькими поставщиками операционной системы, для разработки комплексного подхода к решению этой проблемы быстро и конструктивно. Корпорация Intel начала предоставлять обновления программного обеспечения и прошивки для минимизации этой уязвимости. Вопреки некоторым отчётам, любое влияние на производительность зависит от конкретной рабочей нагрузки и для среднего пользователя влияние не должно быть значительным и со временем будет минимизировано.

Intel придерживается лучшей в индустрии практики ответственного раскрытия потенциальных проблем безопасности, поэтому Intel и другие поставщики планировали раскрыть [информацию] о данной проблеме на следующей неделе, когда будет доступно больше обновлений программного обеспечения и прошивок. Тем не менее, Intel делает это заявление сегодня из-за появления неточных сообщений в средствах массовой информации.

Обратитесь к поставщику или производителю вашей операционной системы и примените любые доступные обновления, как только они будут доступны. Следование основным принципам, помогающим защититься от вредоносного ПО в целом, также позволит остаться защищённым от возможной эксплуатации [уязвимости] до тех пор, пока не будут применены обновления.

Intel считает, что её продукты являются самыми безопасными в мире, и при поддержке партнёров, текущие решения этой проблемы обеспечат максимальную безопасность для клиентов."

Собственно, Intel пытается нас убедить, что на самом деле серьёзность проблемы преувеличена, а также что не только её процессоры обладают данной уязвимостью. Кроме того, компания считает, что "заплатка", которая исправит данный "недостаток" не должна повлиять на производительность систем.

https://www.overclockers.ru/hardnews/88813/oficialnoe-zayavlenie-intel-po-po...

---

...

компания считает, что "заплатка", которая исправит данный "недостаток" не должна повлиять на производительность систем. Выключен PTI: # dd if=/dev/zero of=xxx bs=512 count=5000000 1.1 GB/s

Включен PTI: # dd if=/dev/zero of=xxx bs=512 count=5000000 520 MB/s

<censored>.

-- Best regards, Mykola

2018-01-05 13:07 GMT+02:00 Taras Heichenko :

...

Интересно, сколько AMD заплатил за обнаружение этих дырок в Intel? ;)

5 січня 2018 р. 12:28:21 EET, Valentin Nechayev написав:

...

Fri, Jan 05, 2018 at 12:02:22, unisol wrote about "Re: [uanog] Project Zero: В Новый Год - с новым багом!":

...

Интересно ещё одно - решаемо ли это через "cpu microcode update" ? Можно ж просто выключить предсказатель ветвлений...

И потерять в скорости раз в пять? Вряд ли на это пойдут...

-netch- ________________________________

uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Відправлено з мого Android пристрою з K-9 Mail. Вибачте за стислість.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

---

uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Я бы сказал, что по сравнению с ними, остальным можно дать максимум «за стремление к победе», а все призовые отдать Интелу :-) -- /doka, on the run

On Jan 5, 2018, at 16:34, Valentin Nechayev wrote:

Fri, Jan 05, 2018 at 15:49:04, doka.ua wrote about "Re: [uanog] Project Zero: В Новый Год - с новым багом!":

...

Ключевым в ответе Интела можно считать - "не только мы мудаки" :) остальное - вода.

Зато они главные в этой спецолимпиаде, имея твёрдое первое место по Meltdown.

-netch-

On Fri, Jan 05, 2018 at 03:46:42PM +0200, Mykola Ulianytskyi wrote:

исследованиями в области безопасности, описывающими программные методы анализа, которые при использовании в злонамеренных целях могут собирать конфиденциальные данные с вычислительных устройств. Intel полагает, что эксплойты [построенные на использовании этой уязвимости] не могут повредить, изменить или удалить данные.

"можно только украсть; модифицировать, предположительно, нельзя". "Туалетной бумаги нет, но есть наждачная". -- Best regards, Paul Arakelyan.