• Live: io-techin pikkujoulu- ja hyväntekeväisyysstriimi tänään alkaen klo 19. Pelataan io-techin toimituksen kesken PUBGia ja tavoitteena saada 10000 euroa täyteen Pelastakaa Lapset ry:n joulukeräykseen! Tule mukaan katselemaan ja keskustelemaan! Linkki lähetykseen >>

Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

  • Keskustelun aloittaja Keskustelun aloittaja Kaotik
  • Aloitettu Aloitettu
Tuollainen linkki tuli vastaan https://meltdownattack.com/
Luulen että tästä tulee intelin ja muidenkin prosessori valmistajien arkkuun viimeinen naula.
 
Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen. Lisäksi minulle on nyt silti vähän epäselvää kuinka helppoa se syöte sieltä on saada luettua, jos otetaan ihan random järjestelmä. Ja jos joka tapauksessa suorittaa jokaisen epämääräisen sähköpostiliitteen mikä eteen tulee, niin nopeammin sinne koneelle saa varmasti pyörimään ihan perinteisen keyloggerin joka hoitaa saman asian.

Pätsääminen toki on silti hyvä idea.

Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.

Ongelman nimikin on Meltdown, ensimmäinen asia joka prosessorissa tarvitaan tietoturvan hankkimiseksi on kernelin eristäminen ohjelmilta. Tämä em. ongelma rikkoo tuon ensimmäisen säännön ja tuloksena on siis tietoturvan täydellinen sulaminen.
 
Viimeksi muokattu:
Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen.

Niin kuin, että ei aja ollenkaan Web-selainta, jossa on JavaScript-aktiivisena? Ostettuna bannerimainostilalla (sisältäen kutsutun .js koodin) tuo voi pyöriä vaikka ison mediajätin sivuilla. Näitä on olllu historiassa ennenkin (mm. Forbes.com:in ostettu banneri tuppasi malwarea 0-day exploitin kautta).

Kyllä tuo Meltdown on haavoittusvuuskategoriana (nyt siitä on pätsätty yksi variantti, joka on tiedossa) vakava.

Kaikki tämä tieto on ollut tiedossa jo kaksi päivää, jos vaivautuu lukemaan.

Spectre on vielä kertaluokkaa vaikeampi pätsätä ja joku voisi sanoa, että vakavampi. Sen käytännön pelastaja on, että tehokkaita, yleisessä jaossa olevia sovellutuksia (tyyliin JS koodi selaimen sisällä ajaa mielivaltaista koodia admin-oikeuksin), joka pystyisi hyödyntämään Spectren kategoriaa tehokkaasti, ei tiettävästi vielä ole tarjolla.

Mutta kun menetelmän perusmalli on nyt tiedossa, niin BlackHat-foorumit ovat täynnä ihmisiä, jotka kehittävät noihin nyt toimivia hyökkäyksiä ja myyvät niitä eniten tarjoaville.

Kyllä molemmat ovat vakavia haavoittuvuuskategorioita. Ja Spectre tullee muuttamaan jopa sitä miten prosessorit suunnitellaan (eikä vain mikrokooditoteutusta niiden sisällä).
 
Ei ole minullakaan, eikä monella muullakaan, eivätkä he ole velvollisia testaamaan kenelläkään. Siitä vain testailemaan itse, mielestäni tuo on hyvä idea :-D
En tiedä onko vaivan arvoista, mutta nämähän on juuri niitä asioita mitkä ihmisiä kiinnostaa. Tai ainakin minua.

Olen toki voinut ymmärtää tämän patchin vaikutuksen väärin, mutta käsittääkseni nyt tyhjennellään niitä cacheja vähän toiseen malliin ja (ehkä) tälläinen voi vaikuttaa silloin kun tietoa on jaettu esim. usealle eri levylle. Levyjen cache tosin näissä voi jossain määrin auttaa, mutta kuvittelisin että tuollainen tilanne voisi olla sellainen missä nämä muutokset voisi näkyä, varsinkin kun itse levyillä on suht hidas lukuaika. SSD taas kompensoi tuota aika hyvin, kun sen lukuajat on niin vikkeliä.
 
Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.

Ongelman nimikin on Meltdown, ensimmäinen asia joka prosessorissa tarvitaan tietoturvan hankkimiseksi on kernelin eristäminen ohjelmilta. Tämä em. ongelma rikkoo tuon ensimmäisen säännön ja tuloksena on siis tietoturvan täydellinen sulaminen.

Täysin samaa mieltä että Meltdown on yksi vuosikymmenten pahin ellei jopa pahin haavoittuvuus. Mikä tästä tekee erittäin ongelmallisen on se että hyökkäyksen toteuttaminen on varsin helppoa kun se voidaan tehdä ihan webbisivun kautta.

Tosin jos järkeä käyttää eikä kaikkia pillusivuja kolua läpi mitä verkosta löytyy, niin suht turvassa silti pitäisi olla. Sitä en sitten tiedä että kuinka helposti noihin mainoksiin jota vaikka facebook työntää saadaan tämä ujutettua kun en ohjelmoinnista niin hirveasti tiedä mutta mainoksien kautta on ainakin joskus jotain levitelty.
 
Kiintolevyjen hidastumista ei tarvitse edes miettiä, prossu ehtii flushta TLB:nsä tarvittaessa ainakin kymmenentuhatta kertaa joka kiintolevyn haun yhteydessä, eli hidastumisen tarvitsisi olla ainakin noin kymmenen tuhatta kertaa suurempi että jotain eroa pystyisi syntymään. Kertoo muuten siitä kuinka hitaita kiintolevyt on.... SSD:tkään eivät ole likimainkaan riittävän nopeita että mitään hidastumista syntyisi, ainoastaan NVME:t voivat aiheuttaa hidastumista, tilanne on silloin se että samaan aikaan on menossa satoja erillisiä lukuja joiden kaikkien kohdalla tarvii tehdä tuo kernelin alustus.
 
Ketään puolustelematta, mutta uutisointi kyllä tästä on ollut vähän sekavaa. Esim. pari tuntia sitten YLEn sivuilla otsikoidaan "Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus".

No en tiedä mikä asiantuntija tälläistä väittää, kun kernelidata vuotaa näin niin on erittäin helppo saada koko kone hallintaan - tämä on todella suuri ongelma tavallisille käyttäjillekin ja kaikille käytössä oleville käyttöjärjestelmille tulee pätsit tuota vastaan ihan lähipäivinä. Kaikkien PITÄÄ päivittää, nyt ei ole vaihtoehtoja. Ja normaalikäyttäjälle päivityksestä ei ole merkittävää haittaa, hidastuminen ei ole ongelma, mahdolliset ohjelmien toimimattomuusongelmat voivat olla, tässähän päivityksessä rikotaan aikaisemmat toimivat järjestelmät.....
 
Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.

Ongelman nimikin on Meltdown, ensimmäinen asia joka prosessorissa tarvitaan tietoturvan hankkimiseksi on kernelin eristäminen ohjelmilta. Tämä em. ongelma rikkoo tuon ensimmäisen säännön ja tuloksena on siis tietoturvan täydellinen sulaminen.

Missä tämmöinen demo on? Minä ainakin näin vain twiitin, missä tämän bugin löytäjät demosivat sitä ajamalla (ilmeisesti macOS:ssä) ohjelmaa joka kaappasi näppäimistön merkit. Mitään tarkempia tietoja siitä, mitä tuo ohjelma tekee ei ole tietääkseni tietoturvasyistä julkaistu

Kaikenlaista spekulaatiota toki riittää niin paljon kuin Internettiin mahtuu.
 
Viimeksi muokattu:
Salassapitoa tai ei, jos on haavoittuvuuksia prossussa (ihan mitä tahansa) silloin ei voi kehua että: "meidän prossut on turvattuja".:)

Kyllä voidaan kun kommentoidaan yksittäistä aukkoa tässä siis ensin kommentoitiin Meltdown aukkoa joka alkoi vuotaa julkisuuteen. Tässä vaiheessa ei edelleenkään suurella yleisöllä ollut tietoa kahdesta muusta aukosta.
Eli AMD:n kommentti on täysin validi.
 
Kyllä voidaan kun kommentoidaan yksittäistä aukkoa tässä siis ensin kommentoitiin Meltdown aukkoa joka alkoi vuotaa julkisuuteen. Tässä vaiheessa ei edelleenkään suurella yleisöllä ollut tietoa kahdesta muusta aukosta.
Eli AMD:n kommentti on täysin validi.
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
 
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Kuten täälläkin on n+1 kertaa sanottu, meltdown on se pahempi, amd on tältä turvassa, joten PR-vetona erittäin hyvä. Nyt tarvittaisiin vain lisää hehkutusta tämän osalta.
 
Missä tämmöinen demo on? Minä ainakin näin vain twiitin, missä tämän bugin löytäjät demosivat sitä ajamalla (ilmeisesti macOS:ssä) ohjelmaa joka kaappasi näppäimistön merkit. Mitään tarkempia tietoja siitä, mitä tuo ohjelma tekee ei ole tietääkseni tietoturvasyistä julkaistu

Kaikenlaista spekulaatiota toki riittää niin paljon kuin Internettiin mahtuu.

Tää oli ihan ensimmäisiä julkitulleita speksejä, eli javascriptissäkin päästään taulukon rajojen yli ja hyödyntämään haavoittuvuutta. Demo oli vähän huono sananvalinta, esitettiin vain miten haavoittuvuutta on mahdollista hyödyntää javascriptinkin kautta. Selaimiinhan tuli jo päitivyksiä tuota vastaan.

Siis mikä oli pointti on että tämä haavoittuvuus romuttaa kaiken tietoturvan, edes sandboksattu javascripti ei pysy alueellaan.
 
Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus
Hiljattain havaitut tietokoneen prosessoreiden Meltdown- ja Spectre-haavoittuvuudet eivät aiheuta ongelmaa tavalliselle käyttäjälle, mutta ne saattavat haitata esimerkiksi pilvipalveluympäristöissä, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen.
Nuo yllä siis YLEn uutisesta.
No en tiedä mikä asiantuntija tälläistä väittää
Tuntui etteivät ole sisäistäneet ongelmaa/bugia :tdown:
Itsellekin vähän oudolta kuulostaa, että Viestintäviraston Kyberturvallisuuskeskuksen "johtava asiantuntija" (v näitä titteleitä, melkein yhtä naurettava kuin propagandamasiina UPIn henkilöstön tittelit) näin asian esittää.
 
noh massojen hallinnassa on omat lainalaisuutensa. Viimeinen asia mitä nyt pitää tehdä on lietsoa pallon kattava paniikki. Siinä menee sitten äkkiä nurin pankit, mediatalot kuin verkkojakelijatkin.
 
Tuollainen linkki tuli vastaan Meltdown and Spectre
Luulen että tästä tulee intelin ja muidenkin prosessori valmistajien arkkuun viimeinen naula.
Raspberry Pi 3 ainakin turvassa, ja monet muut jotka käyttää ARM A-53.

Tinker Board on taas A-17, haavoittuva (rockchip)

Jos RPi 3 olis ollut haavoittuva, niin sanoisin että korjaus olisi tehnyt käyttökelvottomaksi, etenkin ketkä pitää muussa käytössä kun emulaattorien pyörittelyssä.
 
Nythän on sitten vielä että tuohon Spectreen, eli tarkemmin versio 2 branch target injection päivitykseen, joka tulee siis sekä käyttöjärjestelmä että mikrokoodi(bios) päivityksenä Intelin Skylake ottaa ihan merkittävän nopeuslaskun kun haarautumisenestoa joudutaan karsimaan reilusti. Nähtävästi kyseinen ongelmakin on kuitenkin sen verran paha että tuotakin pääsääntöisesti suositellaan.
 
Tainnut nyt mennä sekaisin se, että noista päivityksistä ei ole tavalliselle käyttäjälle (todennäköisesti) kovin suurta haittaa suorituskyvyn suhteen, mutta kyllä nuo haavoittuvuudet tosiaan koskettaa ihan jokaista käyttäjää.
 
Tää oli ihan ensimmäisiä julkitulleita speksejä, eli javascriptissäkin päästään taulukon rajojen yli ja hyödyntämään haavoittuvuutta. Demo oli vähän huono sananvalinta, esitettiin vain miten haavoittuvuutta on mahdollista hyödyntää javascriptinkin kautta. Selaimiinhan tuli jo päitivyksiä tuota vastaan.

Siis mikä oli pointti on että tämä haavoittuvuus romuttaa kaiken tietoturvan, edes sandboksattu javascripti ei pysy alueellaan.

Olen vähän skeptienen silti tuosta käytännön toteutuksesta jollain javascriptillä vaikka se olisi teoreettisesti mahdollista. Ymmärtääkseni tämän aukon hyödyntäminen vaatii kuitenkin hyvin tarkkaa liukuhihnan manipulointia, eikä javascriptillä tietääkseni (vai?) pääse ajamaan mitään assembly tai edes c-tason koodia. Toiseksi pitää pystyä lukemaan jotain oikeata muistialuetta ja saada ulos hyödynnettävää dataa.

Näkisin edelleen, että tavallisen Pertin tietoturvan voi ainakin toistaiseksi murtaa helpommalla perinteisinkin keinoin.

Jälkimmäinen ongelma on todennäköisesti vakavampi siellä, missä on oikeasti arvokasta dataa ja jonne on vaikea murtautua perinteisin keinoin.
 
Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen.

Niin kuin, että ei aja ollenkaan Web-selainta, jossa on JavaScript-aktiivisena? Ostettuna bannerimainostilalla (sisältäen kutsutun .js koodin) tuo voi pyöriä vaikka ison mediajätin sivuilla. Näitä on olllu historiassa ennenkin (mm. Forbes.com:in ostettu banneri tuppasi malwarea 0-day exploitin kautta).

Kyllä tuo Meltdown on haavoittusvuuskategoriana (nyt siitä on pätsätty yksi variantti, joka on tiedossa) vakava.

Kaikki tämä tieto on ollut tiedossa jo kaksi päivää, jos vaivautuu lukemaan.

Spectre on vielä kertaluokkaa vaikeampi pätsätä ja joku voisi sanoa, että vakavampi. Sen käytännön pelastaja on, että tehokkaita, yleisessä jaossa olevia sovellutuksia (tyyliin JS koodi selaimen sisällä ajaa mielivaltaista koodia admin-oikeuksin), joka pystyisi hyödyntämään Spectren kategoriaa tehokkaasti, ei tiettävästi vielä ole tarjolla.

Mutta kun menetelmän perusmalli on nyt tiedossa, niin BlackHat-foorumit ovat täynnä ihmisiä, jotka kehittävät noihin nyt toimivia hyökkäyksiä ja myyvät niitä eniten tarjoaville.

Kyllä molemmat ovat vakavia haavoittuvuuskategorioita. Ja Spectre tullee muuttamaan jopa sitä miten prosessorit suunnitellaan (eikä vain mikrokooditoteutusta niiden sisällä).
Ei lopu käyttö mutta kun sitä ruvetaan tutkimaan miksi tietoturva reikä sinne on jätetty se ei ole vahinko vaan tahallinen teko jokainen voi katso minne jäljet johtaa.
Kurssi voi romahtaa kun totuus selviää jos selviää nyt mennään niin syvissä vesissä kalat on todella isoja.
Itselle kävi 2014 syksystä tällainen tapaus ostin uuden adsl reititimen kotiin päästyä minulle soitettiin kaupasta tuote pitää palauttaa liikkeeseen noin viikon päästä sain uuden suoraan tehtaalta kysyin valmistajalta miksi piti palauttaa laite takaisin vastaus oli seuraava rautavika prosessori ja porttiohjauksessa suunnittelu virhe.
 
Olen vähän skeptienen silti tuosta käytännön toteutuksesta jollain javascriptillä vaikka se olisi teoreettisesti mahdollista. Ymmärtääkseni tämän aukon hyödyntäminen vaatii kuitenkin hyvin tarkkaa liukuhihnan manipulointia, eikä javascriptillä tietääkseni (vai?) pääse ajamaan mitään assembly tai edes c-tason koodia. Toiseksi pitää pystyä lukemaan jotain oikeata muistialuetta ja saada ulos hyödynnettävää dataa.

Kun ei tarvii, tuo ongelma on niin paha että koodi jolla sitä hyödyntää on yks pahainen looppi muutamalla käskyllä. Onnistuu siis Javascriptinkin läpi, ja ilman hajautettua kerneliä halutun datan kaivaminen on ihan triviaalia hommaa. Tuo nyt onneksi saadaan tukittua jo ihan selaimessakin mutta vanhoja versioita on maailma täynnä........
 
Ei lopu käyttö mutta kun sitä ruvetaan tutkimaan miksi tietoturva reikä sinne on jätetty se ei ole vahinko vaan tahallinen teko jokainen voi katso minne jäljet johtaa.
Kurssi voi romahtaa kun totuus selviää jos selviää nyt mennään niin syvissä vesissä kalat on todella isoja.

Tää ei ole mikään tahallinen jätetty reikä vaan ihan arkkitehtuurin mukana tullut haavoittuvuus, eli OOO-prosessorin Spectre-haavoittuvuus aukaisee tämän Meltdown-haavoittuvuuden. Prosessori ei siis tarkista käyttäjäoikeuksia noita spekulatiivisia käskyjä suorittaessaan missä ei normaalisti ole haittaa missään tilanteessa mutta tuon Spectren takia saadaankin suojattua dataa vuodettua. Intel ei ole yksin ongelman kanssa, myös ainakin Arm-prosessorit ovat suorittaneet spekulatiivista koodia samoin suojausoletuksin.
 
Näkisin edelleen, että tavallisen Pertin tietoturvan voi ainakin toistaiseksi murtaa helpommalla perinteisinkin keinoin.
Juuri näin. Pertti saattaa kuitenkin pahimmassa kokea tämän ongelman karvaasti muuta kautta, vaikka näin:

F-Securen johtava tutkija: Pelottaa sähköverkkojen, kaupan ja sairaaloiden puolesta
Tämä on ennen kaikkea ongelma mahdollisten kybersodan, kyberhyökkäysten ja kyberterrorismin kannalta, enemmän kuin tavallisen kotikäyttäjän.

Tuohan siinä lähinnä eniten huolettaa, kun tietää miten huonosti hallittuja noiden alojen järjestelmät loppujen lopuksi ovat, johtuen siitä että niissä pyöritettävät sovellukset ovat ikivanhoja dinosauruksia joiden alustoja ei niin vain voi päivittää. Sieltä kun alkaa valumaan julkisuuteen miljoonien ihmisten terveys- ja/tai rikoshistoriaa tai paukahtaa joku herkässä tilassa olevan maan perusinfra, niin ei tarvitse paljon arvailla että mistä siinä on kyse.

Ne Pertin koneet eivät oikeasti ole tämän bugin osalta olennainen juttu, vaikka Pertinkin pitää toki muistaa huolehtia perusjutut kuntoon joko itse tai veljenpojan avustuksella.
 
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?

No eikös se ollut Intel joka ensin meni toitottamaan että koskee kaikkia prosessoreita? Työnsivät Meltdown patchin kerneliinkin oletuksena että koskee kaikkia? Jonka AMD sitten kuittasi myöhemmin.
Tottakai tuon kokoisella firmalla on välittömasti intressit kiillottaa oma kilpensä kun siihen alkaa rapaa roiskumaan ja koska edelleen oli vasta Meltdownista puhe, niin en näe mitään väärää AMD:n julkitulossa.
 
No eikös se ollut Intel joka ensin meni toitottamaan että koskee kaikkia prosessoreita? Työnsivät Meltdown patchin kerneliinkin oletuksena että koskee kaikkia? Jonka AMD sitten kuittasi myöhemmin.
Tottakai tuon kokoisella firmalla on välittömasti intressit kiillottaa oma kilpensä kun siihen alkaa rapaa roiskumaan ja koska edelleen oli vasta Meltdownista puhe, niin en näe mitään väärää AMD:n julkitulossa.
Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan. :D

Olenko jossakin sanonut sanallakaan mitään siihen suuntaan että Intelissä tai missään muussakaan aiheeseen liittyvässä toimijassa ei olisi vikaa? Kommentoin edellisessä AMD:n tekemisiä, mutta ei se poissulje millään tavalla muiden perseilyitä. Eri koostumuksella olevaa jätettä kaikki. Oletko nyt tyytyväinen?
 
Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan. :D

Olenko jossakin sanonut sanallakaan mitään siihen suuntaan että Intelissä tai missään muussakaan aiheeseen liittyvässä toimijassa ei olisi vikaa? Kommentoin edellisessä AMD:n tekemisiä, mutta ei se poissulje millään tavalla muiden perseilyitä. Eri koostumuksella olevaa jätettä kaikki. Oletko nyt tyytyväinen?

En minä ole missään vaiheessa mitenkään tyytymätön ollut. Voihan sen AMD:n julkitulon ihan PR stunttinakin tulkita jos niin haluaa tehdä, mutta omasta mielestäni se oli ihan oikeutettu ulostulo kun muutkin osapuolet niitä tiedotteita alkoi tuomaan julki ja varmasti AMD:lle alkoi myös kyselyitä tulemaan että kuinkas on teidän tuotteiden laita?
 
Ovatko Core2 prossut tämän haavoittuvuuden piirissä? Löytyy tuosta kakkoskoneesta vielä moinen.
 
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Ottaen huomioon että AMD:n tapauksessa ainut todistettu haavoittuvuus vaatii nimenomaan käyttöjärjestelmäpuolen päivitystä en näkisi sitä noin. Juu, variant 2 toimii myös teoriatasolla mutta kukaan ei ole onnistunut keksimään vielä tapaa millä se toimisi AMD:n prossuilla.
 
Intel lupaa – Korjaus lähes kaikille alle viisi vuotta vanhoille prosessoreille tulossa

Kovia lupauksia, mutta saas nähdä miten näiden jalkautus onnistuu. Ja entäs sitten ne 5v vanhemmat laitteet, joita on melko varmasti prosentuaalisesti paljon enemmän kuin puolet kokonaismassasta?

Kiva kuitenkin jos sieltä jotain järkevällä tavalla toimivia taikatemppuja tulee jakoon ennemmin tai myöhemmin.
Tarkoitus oli antaa vanha sotajuhta i7 950 siskolle käyttöön mut nyt sit tiedä et uskaltaako laittaa jos jää osa ongelmista korjaamatta. Vaikka varmaan äärimmäisen pieni mahdollisuus et jotain tulis niin kyllähän siitä vastuun joutuis ottamaan :dead:

Muuten noista aiemmista testeistä vielä. Vissiin itse Intelin pätsi vasta enemmän vaikuttanut tuloksiin eli käytännössä nuo testit jotka ajettu vain Mikkisoftan päivityksellä on täysin turhia.
 
Intel lupaa – Korjaus lähes kaikille alle viisi vuotta vanhoille prosessoreille tulossa

Kovia lupauksia, mutta saas nähdä miten näiden jalkautus onnistuu. Ja entäs sitten ne 5v vanhemmat laitteet, joita on melko varmasti prosentuaalisesti paljon enemmän kuin puolet kokonaismassasta?

Kiva kuitenkin jos sieltä jotain järkevällä tavalla toimivia taikatemppuja tulee jakoon ennemmin tai myöhemmin.
Juu mullakin on i7 4790K sen veran vanhalla emolla että sen emolevyn piirisarja taitaa olla julkaistu alunperin yli 5 vuotta sitten eli ei taida Intel julkaista päivitystä jonka edes teoriasa voisi saada sen emolevyn Bios päivityksen kautta.
 
Ottaen huomioon että AMD:n tapauksessa ainut todistettu haavoittuvuus vaatii nimenomaan käyttöjärjestelmäpuolen päivitystä en näkisi sitä noin. Juu, variant 2 toimii myös teoriatasolla mutta kukaan ei ole onnistunut keksimään vielä tapaa millä se toimisi AMD:n prossuilla.
Oliko tuota variant 2:sta saatu millään toimimaan?
 
Tulee ainakin hyvät boostit kun seuraava sukupolvi missä tämä on korjattu.
 
Tulee ainakin hyvät boostit kun seuraava sukupolvi missä tämä on korjattu.

Eikös nämä tietoturva-aukot olleet seurausta juuri siitä, että on puristettu laskentatehoa/nopeutta niin paljon kuin vaan saadaan, kun kellotaajuuksien kanssa on tullut seinä vastaan ja sitten hieman "oiottu" arkkitehtuurivalinnoissa? Mutu: eli korjaukset ei välttämättä hirveästi ainakaan nopeuta prosessoreita.

E: Näin lukee tuossa Spectren whitepaperissa (https://spectreattack.com/spectre.pdf):

"The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks."
 
Viimeksi muokattu:
Kolme joukkokannetta jo aloitettu Inteliä vastaan :

Intel hit with three lawsuits over chip security

Kuten yleensä, veikkaan finanssivaikutusten jäävän pieniksi ja lakimiesten hyötyvän.

Itse lataan Inteliä lisää, jos tästä vielä dippaa :-D

Huvittavaa on, että tässä Meltdown/Spectre huumassa oheiset uutiset jäävät hyvin vähälle huomiolle, kun muina aikoina niitä reposteltaisiin kunnolla. Kaikki on niin kovin suhteellista:

AMD PSP Affected By Remote Code Execution Vulnerability - Phoronix
Western Digital My Cloud drives have a built-in backdoor
 
Viimeksi muokattu:

Uusimmat viestit

Statistiikka

Viestiketjuista
262 455
Viestejä
4 557 286
Jäsenet
74 968
Uusin jäsen
Jalleboi

Hinta.fi

Back
Ylös Bottom