Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.
Millä lailla viimeinen naula? Et kai meinaa että tämä veisi ne konkurssiin? Vai lopetetaanko prosessorien valmistus ja käyttö tykkänään mielestäsi?
Niin kuin, että ei aja ollenkaan Web-selainta, jossa on JavaScript-aktiivisena? Ostettuna bannerimainostilalla (sisältäen kutsutun .js koodin) tuo voi pyöriä vaikka ison mediajätin sivuilla. Näitä on olllu historiassa ennenkin (mm. Forbes.com:in ostettu banneri tuppasi malwarea 0-day exploitin kautta).
En tiedä onko vaivan arvoista, mutta nämähän on juuri niitä asioita mitkä ihmisiä kiinnostaa. Tai ainakin minua.
Täysin samaa mieltä että Meltdown on yksi vuosikymmenten pahin ellei jopa pahin haavoittuvuus. Mikä tästä tekee erittäin ongelmallisen on se että hyökkäyksen toteuttaminen on varsin helppoa kun se voidaan tehdä ihan webbisivun kautta.
Ketään puolustelematta, mutta uutisointi kyllä tästä on ollut vähän sekavaa. Esim. pari tuntia sitten YLEn sivuilla otsikoidaan "Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus".
No en tiedä mikä asiantuntija tälläistä väittää, kun kernelidata vuotaa näin niin on erittäin helppo saada koko kone hallintaan - tämä on todella suuri ongelma tavallisille käyttäjillekin ja kaikille käytössä oleville käyttöjärjestelmille tulee pätsit tuota vastaan ihan lähipäivinä. Kaikkien PITÄÄ päivittää, nyt ei ole vaihtoehtoja. Ja normaalikäyttäjälle päivityksestä ei ole merkittävää haittaa, hidastuminen ei ole ongelma, mahdolliset ohjelmien toimimattomuusongelmat voivat olla, tässähän päivityksessä rikotaan aikaisemmat toimivat järjestelmät.....
Missä tämmöinen demo on? Minä ainakin näin vain twiitin, missä tämän bugin löytäjät demosivat sitä ajamalla (ilmeisesti macOS:ssä) ohjelmaa joka kaappasi näppäimistön merkit. Mitään tarkempia tietoja siitä, mitä tuo ohjelma tekee ei ole tietääkseni tietoturvasyistä julkaistu
Tuntui etteivät ole sisäistäneet ongelmaa/bugia
Kyllä voidaan kun kommentoidaan yksittäistä aukkoa tässä siis ensin kommentoitiin Meltdown aukkoa joka alkoi vuotaa julkisuuteen. Tässä vaiheessa ei edelleenkään suurella yleisöllä ollut tietoa kahdesta muusta aukosta.Salassapitoa tai ei, jos on haavoittuvuuksia prossussa (ihan mitä tahansa) silloin ei voi kehua että: "meidän prossut on turvattuja".
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Kuten täälläkin on n+1 kertaa sanottu, meltdown on se pahempi, amd on tältä turvassa, joten PR-vetona erittäin hyvä. Nyt tarvittaisiin vain lisää hehkutusta tämän osalta.
Tää oli ihan ensimmäisiä julkitulleita speksejä, eli javascriptissäkin päästään taulukon rajojen yli ja hyödyntämään haavoittuvuutta. Demo oli vähän huono sananvalinta, esitettiin vain miten haavoittuvuutta on mahdollista hyödyntää javascriptinkin kautta. Selaimiinhan tuli jo päitivyksiä tuota vastaan.
Nuo yllä siis YLEn uutisesta.
Itsellekin vähän oudolta kuulostaa, että Viestintäviraston Kyberturvallisuuskeskuksen "johtava asiantuntija" (v näitä titteleitä, melkein yhtä naurettava kuin propagandamasiina UPIn henkilöstön tittelit) näin asian esittää.Tuntui etteivät ole sisäistäneet ongelmaa/bugia
Raspberry Pi 3 ainakin turvassa, ja monet muut jotka käyttää ARM A-53.
Olen vähän skeptienen silti tuosta käytännön toteutuksesta jollain javascriptillä vaikka se olisi teoreettisesti mahdollista. Ymmärtääkseni tämän aukon hyödyntäminen vaatii kuitenkin hyvin tarkkaa liukuhihnan manipulointia, eikä javascriptillä tietääkseni (vai?) pääse ajamaan mitään assembly tai edes c-tason koodia. Toiseksi pitää pystyä lukemaan jotain oikeata muistialuetta ja saada ulos hyödynnettävää dataa.
Ei lopu käyttö mutta kun sitä ruvetaan tutkimaan miksi tietoturva reikä sinne on jätetty se ei ole vahinko vaan tahallinen teko jokainen voi katso minne jäljet johtaa.
Kun ei tarvii, tuo ongelma on niin paha että koodi jolla sitä hyödyntää on yks pahainen looppi muutamalla käskyllä. Onnistuu siis Javascriptinkin läpi, ja ilman hajautettua kerneliä halutun datan kaivaminen on ihan triviaalia hommaa. Tuo nyt onneksi saadaan tukittua jo ihan selaimessakin mutta vanhoja versioita on maailma täynnä........
Tää ei ole mikään tahallinen jätetty reikä vaan ihan arkkitehtuurin mukana tullut haavoittuvuus, eli OOO-prosessorin Spectre-haavoittuvuus aukaisee tämän Meltdown-haavoittuvuuden. Prosessori ei siis tarkista käyttäjäoikeuksia noita spekulatiivisia käskyjä suorittaessaan missä ei normaalisti ole haittaa missään tilanteessa mutta tuon Spectren takia saadaankin suojattua dataa vuodettua. Intel ei ole yksin ongelman kanssa, myös ainakin Arm-prosessorit ovat suorittaneet spekulatiivista koodia samoin suojausoletuksin.
Kenen kanssa? Tässähän ei luoteta edes siihen että softtakorjatut Intelit toimisivat ja suositellaan normaalille käyttäjällekin kunnon foliohattusuojauksia.... toistaiseksi itse katsoisin että kriittisten päivitysten lataaminen riittää.
Juuri näin. Pertti saattaa kuitenkin pahimmassa kokea tämän ongelman karvaasti muuta kautta, vaikka näin:
Tuohan siinä lähinnä eniten huolettaa, kun tietää miten huonosti hallittuja noiden alojen järjestelmät loppujen lopuksi ovat, johtuen siitä että niissä pyöritettävät sovellukset ovat ikivanhoja dinosauruksia joiden alustoja ei niin vain voi päivittää. Sieltä kun alkaa valumaan julkisuuteen miljoonien ihmisten terveys- ja/tai rikoshistoriaa tai paukahtaa joku herkässä tilassa olevan maan perusinfra, niin ei tarvitse paljon arvailla että mistä siinä on kyse.
No eikös se ollut Intel joka ensin meni toitottamaan että koskee kaikkia prosessoreita? Työnsivät Meltdown patchin kerneliinkin oletuksena että koskee kaikkia? Jonka AMD sitten kuittasi myöhemmin.
Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan.
En minä ole missään vaiheessa mitenkään tyytymätön ollut. Voihan sen AMD:n julkitulon ihan PR stunttinakin tulkita jos niin haluaa tehdä, mutta omasta mielestäni se oli ihan oikeutettu ulostulo kun muutkin osapuolet niitä tiedotteita alkoi tuomaan julki ja varmasti AMD:lle alkoi myös kyselyitä tulemaan että kuinkas on teidän tuotteiden laita?Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan.
Olenko jossakin sanonut sanallakaan mitään siihen suuntaan että Intelissä tai missään muussakaan aiheeseen liittyvässä toimijassa ei olisi vikaa? Kommentoin edellisessä AMD:n tekemisiä, mutta ei se poissulje millään tavalla muiden perseilyitä. Eri koostumuksella olevaa jätettä kaikki. Oletko nyt tyytyväinen?
Kyberturvallisuuskeskuksen.
Ottaen huomioon että AMD:n tapauksessa ainut todistettu haavoittuvuus vaatii nimenomaan käyttöjärjestelmäpuolen päivitystä en näkisi sitä noin. Juu, variant 2 toimii myös teoriatasolla mutta kukaan ei ole onnistunut keksimään vielä tapaa millä se toimisi AMD:n prossuilla.
Tarkoitus oli antaa vanha sotajuhta i7 950 siskolle käyttöön mut nyt sit tiedä et uskaltaako laittaa jos jää osa ongelmista korjaamatta. Vaikka varmaan äärimmäisen pieni mahdollisuus et jotain tulis niin kyllähän siitä vastuun joutuis ottamaan
Juu mullakin on i7 4790K sen veran vanhalla emolla että sen emolevyn piirisarja taitaa olla julkaistu alunperin yli 5 vuotta sitten eli ei taida Intel julkaista päivitystä jonka edes teoriasa voisi saada sen emolevyn Bios päivityksen kautta.
Oliko tuota variant 2:sta saatu millään toimimaan?
On ainakin Intelillä
Eikös nämä tietoturva-aukot olleet seurausta juuri siitä, että on puristettu laskentatehoa/nopeutta niin paljon kuin vaan saadaan, kun kellotaajuuksien kanssa on tullut seinä vastaan ja sitten hieman "oiottu" arkkitehtuurivalinnoissa? Mutu: eli korjaukset ei välttämättä hirveästi ainakaan nopeuta prosessoreita.
Kyllä täällä jo eräs AMD-fanaattinen henkilö esitti arvion, että YouTube varmaan lakkaa toimimasta koska Googlen palvelinsalit kyykkäävät näiden tietoturvapätsien takiaJaa jaa. Kai 7600K @ 4.7 siltikin pyörittää kissavideot ja iotekkiä.
Juu pääsee Intel mainostamaan että uusi sukupolvi on 30% tehokkaampi.
Core2 ovat haavioittuvia:
