Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

  • Keskustelun aloittaja Keskustelun aloittaja Kaotik
  • Aloitettu Aloitettu
Viimeksi muokattu:
Onko tietoa miten on Snapdragon Kryo:n laita? Ainakin SD835 Kryo 280 on joku custom A-73, mutta mites SD820 / SD821?

Osa noista Spectren hyökkäysvektoreista ilmeisesti toimii about kaikilla out-of-order coreilla, joten kannattanee olettaa niidenkin olevan haavoittuvaisia.
 
Spectren white paper oli ihan mielenkiintoista luettavaa. Meltdown on OoO toteutuksen ominaisuus, mutta toistaiseksi AMD:llä tuo ei ole toistettavissa ja ilmeisesti koskee vain yhtä ARMv8-A prossun toteutusta. Spectre on kyllä sen verran akateeminen, sille minäkin muuten hyväksyn SCA leiman, että mitenkähän mahtaa oikeasti onnistua kyseinen exploit. Se ei sinänsä ole OoO ominaisuus vaan SCA haarautumisennustamista vastaan. Teoreettisesti näillä ei ole relaatiota, mutta taitaa olla harvassa sellaiset haarautumisennustamisyksiköt, joissa OoO ei olisi oletettu.

Hyvä esimerkki tosin siitä että patternit on kaksiteräinen miekka.
 
Jos Intelin lausunnon totuus tästä vielä muuttuu, on sijoittajilta tiedossa Intelille haasteita lakitupaan.
Kyllähän tässä oli medioissa (pl. Io-Tech) ihan selvää Intellin ajojahtia/ liijoittelua.

AMD vielä eilen: "Meillä on 100% turvatut prossut".:)

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".
Testatkaa Lightroomilla. Jollain isolla tietokannalla. Please.
Miten LR: lla pitäisi testata? Käytävätkö 100 000 kuvan kirjastoa (tuskin) vai 10 kuvan - Joka tapauksessa vain ko. kuvan tiedot luetaan (käyttää lisäksi GPU kiihdytystä).
 
Kyllähän tässä oli medioissa (pl. Io-Tech) ihan selvää Intellin ajojahtia/ liijoittelua.

AMD vielä eilen: "Meillä on 100% turvatut prossut".:)

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".

Miten LR: lla pitäisi testata? Käytävätkö 100 000 kuvan kirjastoa (tuskin) vai 10 kuvan - Joka tapauksessa vain ko. kuvan tiedot luetaan (käyttää lisäksi GPU kiihdytystä).

höpöhöpö. aikaisemmin oli vain meltdownista vuotanut tietoa. Siinä suhteessa asiasta keskusteltiin ja siinä suhteessa asia on niin, että amd on ainoa jossa haavoittuvuutta ei ole.

Nämä kaksi spectre varianttiahan olivat pysyneet kannen alla. Niiden suhteen siis keskustelua ei edes käyty.

ILmeisesti nyt vielä on niin, että meltdown on se pontentiaalisin käytettäväksi.
 
höpöhöpö. aikaisemmin oli vain meltdownista vuotanut tietoa. Siinä suhteessa asiasta keskusteltiin ja siinä suhteessa asia on niin, että amd on ainoa jossa haavoittuvuutta ei ole.

Nämä kaksi spectre varianttiahan olivat pysyneet kannen alla. Niiden suhteen siis keskustelua ei edes käyty.
Kyllähän nuo on jo olleet pidempään aikaa tiedossa.
Sekä aina on ollut haavoittuvuuksia ja tule olemaankin.
 
Hardware Unboxed on jo ehtinyt testaamaan Windowsin korjauspätsin i7-8700K:lla.
Miten se näyttää että coffee lake kärsii eniten?
Peleissä ei ole juuri eroa. Voisiko olla joku cache virhe testissä?
upload_2018-1-4_10-38-28.png


Tosin testi ei ole todellinen koska se ajettu huippumallilla, pitäisi olla i3 coffelakesta esim.
Silloin erot oli varmaan selvemmat normaali käyttäjälle.
Kyllähän nuo on jo olleet pidempään aikaa tiedossa.
Sekä aina on ollut haavoittuvuuksia ja tule olemaankin.
ehkä 12tuntia yleisessä tiedossa.
 
Viimeksi muokattu:
”A *competent* CPU engineer would fix this by making sure speculation doesn't happen across protection domains. Maybe even a L1 I$ that is keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look at their CPU's, and actually admit that they have issues instead of writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

- Intel never intends to fix anything

OR

- these workarounds should have a way to disable them.

Which of the two is it?

-Linus Torvalds”

LKML: Linus Torvalds: Re: Avoid speculative indirect calls in kernel
 
Hardware Unboxed on jo ehtinyt testaamaan Windowsin korjauspätsin i7-8700K:lla.



Tiivistelmä:

- Jos asennat Meltdown-haavoittuvuutta koskevan pätsin KB4054022, ja olet käyttänyt "Reset This PC -toimintoa", voi asennus kilahtaa 99% kohdalle. Eli backupit / image kuntoon ensin.

- Windows 10:ssä 8700K raudalla, Meltdown-paikon jälkeen peleissä, rendaus, pakkaus, excel, hyötysovelluksissa erot ovat virhemarginaalin sisällä, eli ei hidastumista/nopeutumista.

- Ainoa selkeä toistettava ero oli SSD-levyllä 4K Random Read tulosten putoaminen ~20% luokkaa.

- Nämä eivät ole kaikki testit, tämä KB4054022 ei ole ainoa pätsi (lisää tulee varmaan liittyen Spectreen, joka on tutkijoiden mukaan kasa erilaisia haavoittuvuuksia ja niihin liittyviä hyökkäysvektoreita).

Muualta poimittuna isoilla tietokanta- ja virtualisointikuormilla, etenkin jos on paljon syscall-funktiokutsuja, käytössä on nyt juuri julkaistu pätsätty Linux-ydin, hidastus voi olla huomattavaa (sitä ~ -30% - -50% luokkaa pahimmillaan, mitä toistaiseksi olen nähnyt.

Kaikki varmasti vielä muuttuu ja elää.

Olenpa tyytyväinen, että jätin isomman päivityksen odottamaan, tuo Spectre näyttää siltä, että aivan triviaalisti sitä ei paikata ilman sivuvaikutuksia, ainakaan nopeasti. Ja jos (ainakin teoriassa) riittää, että hyökkäys ajetaan selaimen sisällä (vaikka Chromessa, hiekkalaatikon sisässä) JavaScriptillä, eikä käyttäjän tarvitse olla kirjautuneena admin-tunnuksin, niin hyökkäyksen datasiirtohitaudesta huolimatta, tuolla voidaan lukea ja ajaa mielivaltaisesti (joskin vielä tunnetuilla vektoreilla, rajoitetusti).
 
Viimeksi muokattu:
Lelut leluina, ei kai kukaan käytä toiminto- tai tietoturvakriittisissä kohteissa.

“Poikani, kunpa tietäisit, miten vähällä järjellä tätä maailmaa hallitaan.”
-- Axel Oxenstierna

Maailma on täynnä erilaisia reikiä, aina Siemensin sentrifugaattoria ohjaavista sulautetuista järjestelmistä optisiin sensoreihin ja mekaanisiin kytkimiin. Ja se koodi on niissä toteutettu rautatasolla, ilman päivitysmahdollisuutta.

Ystäväni isä suunnitteli ydinvoimaloiden sähkö- ja ohjausjärjestelmiä erään maan ydinvoimaloissa (ei Suomessa). Hänen tarinansa ovat aika legendaarisia, niistä sitten joskus lisää, kun voimalat eivät enää ole aktiivikäytössä :-D
 
”A *competent* CPU engineer would fix this by making sure speculation doesn't happen across protection domains. Maybe even a L1 I$ that is keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look at their CPU's, and actually admit that they have issues instead of writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

- Intel never intends to fix anything

OR

- these workarounds should have a way to disable them.

Which of the two is it?

-Linus Torvalds”

LKML: Linus Torvalds: Re: Avoid speculative indirect calls in kernel


Toki niin käy että ei intel mitään voi vanhoja prossuja korjata. Se on helppo sanoa että arm on turvallinen, koska se on kertakäyttö prossu. Tähän asti niitä on käytetty max 4-5v. Ei ole silloin niin paljon tiedossa olevia tietoturva ongelmia kuin kauemmin ja yleisimmin käytössä olevilla. Jos windows laitetaan arm:n alkaa ongelmia löytyä enemmän, uskon että ARM on oikonu paljon enemmän suorituskykyä parantaakseen.

Why Linux pioneer Linus Torvalds prefers x86 chips over ARM processors


Hyvin mies aina seilaa sopivassa myötävirtauksessa että lausunnot kuulostaa viisailta.
 
No onneksi intellin pr ymmärtää tämän paremmin kuin täällä.
2/3 mitre tunnisteen saaneesta haavoittuvuudesta koskee myös amd:tä, joten... Totuuden saa aina kertoa.

Unohtamatta Intelin Management Engineä? Sekin vain odottaa aukkojen todentamista jolloin paska taas vyöryy. Väittäisin että ME aukkojen etsintä saa uusia voimia tästä meltdown/spectre huumasta.
ME:stä löydettiin juuri aukko johon on emolevyvalmistajilta tullut korjauspäivityksiä.
Tosin ainakin oman Maximus VIII Rangerin tuo päivitys paskoi totaalisesti, boottaaminen hidastui tai ei onnistunut lainkaan, ja lepotilasta ei palautunut ollenkaan. Oli pienen työn takana saada edellinen versio takaisin kun sitä ei missään erikseen ollut jaossa. Ja biosista ei pysty kytkemään ME:tä pois käytöstä.

Intel Chip Flaws Leave Millions of Devices Exposed
 
ehkä 12tuntia yleisessä tiedossa.
En puhunut mistään ns. "yleisestä tiedosta", VAAN AMD: sta (myös heillä on sisäpiirin tietoa). Silti:

AMD vielä eilen: "Meillä on 100% turvatut prossut".:)

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".


Lähde, että ovat olleet pidemmän aikaa tietoisia asiasta:

Reading privileged memory with a side-channel - 酷辣虫

We reported this issue to Intel, AMD and ARM on 2017-06-01
 
En puhunut mistään ns. "yleisestä tiedosta", VAAN AMD: sta (myös heillä on sisäpiirin tietoa). Silti:

AMD vielä eilen: "Meillä on 100% turvatut prossut".:)

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".


Lähde, että ovat olleet pidemmän aikaa tietoisia asiasta:

Reading privileged memory with a side-channel - 酷辣虫

We reported this issue to Intel, AMD and ARM on 2017-06-01

Asia selvä, mutta pitää muistaa että pörssiyritysten lausunnot ei ole koskaan suunnattu käyttäjille, vaan pörssille.

Asia kyllä oli "To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time"
 
Viimeksi muokattu:

Intel pomon olisi myös pitänyt tietää, että haavoittuvuus ei koske kilpailijan tuotetta.

Tosin voi olla että CES2018 tapahtumassa Intel pomoa ei nähdä, vaan herralla on muita "kiireitä", mikäli hänen piti tapahtumaan edes tulla alunperinkään.
 
Kyllä Spectre-haavoittuvuuskategoria lienee jotain, mitä ei heti noin vain pätsätä:



IBM:n SecurityIntelligence:ssä kohtuuhyvä yhteenveto:

CPU Vulnerability Can Allow Attackers to Read Privileged Kernel Memory and Leak Data



Tarkoittaa että prosessorin rakennetta pitää muuttaa radikaalisti, ohjelmisto pätsi "onnistuu" kyllä.
Mutta kuten spekuloin itsekseni, tuleeko tästä uusi "flash" eli päivitettävä korjauksia tämän tästä.
Intel on luvannut korjattuja prosessoreita tämän vuoden aikana.
 
Viimeksi muokattu:

Cortex-A53 ole out of order-prosessori, vaan in-order-mopo.

In-order-prosessoreissa spekulatiivisen suorituksen toiminta on todella paljon rajoitetumpaa kuin out-of-order-prosessoreissa, joten nämä hyökkäykset ei onnistu in-order-prosessoreilla.

ARMeista OoOEta tekee Cortex A9, A12, A15, A17, A57, A72, A73 ja A75.
 
Viimeksi muokattu:
Asia selvä, mutta pitää muistaa että pörssiyritysten lausunnot ei ole koskaan suunnattu käyttäjille, vaan pörssille.

Sitähän ne kieltämättä on. Pörssi reagoikin odotetusti. The Register esitti jo käännöksensä Intelin pressitiedoteesta, muutama poiminta:

"
Intel and other technology companies have been made aware of new security research describing software analysis methods that, when used for malicious purposes, have the potential to improperly gather sensitive data from computing devices that are operating as designed.

Translation: When malware steals your stuff, your Intel chip is working as designed. Also, this is why our stock price fell. Please make other stock prices fall, thank you."

"
Intel believes these exploits do not have the potential to corrupt, modify or delete data.

Translation: Look, over here! Scary words! And we deny them! And you'll forget that this is about stealing information, not tampering with it."

"
Recent reports that these exploits are caused by a “bug” or a “flaw” and are unique to Intel products are incorrect.

Translation: Pleeeeeease, pleeeeease do not sue us for shipping faulty products or make us recall millions of chips."


Meltdown iskee kyllä datakeskuksiin ikävästi ja on vain intelin riesa. Tuo Spektre onkin jännepi tapaus.
 
Miten se näyttää että coffee lake kärsii eniten?
Peleissä ei ole juuri eroa. Voisiko olla joku cache virhe testissä?
upload_2018-1-4_10-38-28.png

Tuossa oli hyvin levy-IO-intensiivinen benchmark, ja coffee lakella käytössä paljon nopeampi SSD kuin kaby lakella.

Eli ilman patchiä tilanne oli enemmän levyrajoitteinen, coffee lake- koneen nopea SSD pääsi oikeuksiinsa, ja se oli paljon kaby lakea nopeampi.

Patchin kanssa tilanteesta tuli enemmän CPU-rajoitteinen jolloin coffe lake-koneen nopeasta SSDstä ei ollut niin paljoa hyötyä -> pudotus suurempi.


Tuossa ei siis käytännössä oikeasti vertailtu eri CPUita vaan eri levyjä, nopean levyn kanssa vaikutus suurempi ;)
 
Viimeksi muokattu:
Tuleeko tämä vaikuttamaan peliservereihin, onko odotettavissa tehon laskua niissä? Ja näkyykö se pelaajille millään lailla?
 
Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.
 
Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.

Vaikuttaa liian hankalalta sivuston resursseihin nähden. Mikään ei estä sinua tekemästä testiä ja julkaisemasta sivustolla. Selkeästi sinulla enemmän osaamista sillä alueella.
 
Vaikuttaa liian hankalalta sivuston resursseihin nähden. Mikään ei estä sinua tekemästä testiä ja julkaisemasta sivustolla. Selkeästi sinulla enemmän osaamista sillä alueella.


Totta tuo mutta kun ei perkele ole oikeen rautaa. Just duuni loppumassa nykysessä firmassa niin ei viitsi näiden rautaa käyttää ja sitten taas uudessa duunissa ei varmaan viitti ekalla viikolla alkaa säätämään :D

Ja himassa ei oikein oo kun toi mopo pelikone niin sillä ei varmaan pääse mihinkään järkevään skenaarioon :(
 
Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.
Tuollaisen vertailutestin tekeminen olisi järkevää vasta kun on päivitys olemassa myös sille hypervisorille, eikä pelkästään virtuaalikoneille. Hypervisoriksi kannattaa mielestäni valita suosituin, eli VMware, mutta sille ei ainakaan vielä ole tarjolla päivitystä. HyperV:llä olisi toki hieman helpompi testata kun se tulee käyttiksen mukana, mutta sitten testi ei vastaa suoraan oikeaa tuotantoympäristöä.
 
Tuollaisen vertailutestin tekeminen olisi järkevää vasta kun on päivitys olemassa myös sille hypervisorille, eikä pelkästään virtuaalikoneille. Hypervisoriksi kannattaa mielestäni valita suosituin, eli VMware, mutta sille ei ainakaan vielä ole tarjolla päivitystä. HyperV:llä olisi toki hieman helpompi testata kun se tulee käyttiksen mukana, mutta sitten testi ei vastaa suoraan oikeaa tuotantoympäristöä.


Totta. Voishan sitä jonkun KVM:n tms viritellä mutta toi VMWare ois paras. Eiköhän sieltä toki se päivitys jossain vaiheessa tule...
 
Ongelma tuon Spectren kanssa on vain se, että sitä ei kernel päivityksellä korjata. Se on kaikkien nykyprosessorien arkkitehtuuriin sisältyvä "ominaisuus", oli valmistaja kuka tahansa. Meltdownia, joka koskee Inteliä ja joitain ARM-ytimiä, korjataan kernel-päivityksellä. Spectren korjaaminen vaatii arkkitehtuurin uudelleensuunnittelua. Sen "hyvä" puoli on, että onneksi se on varsin vaikeasti hyödynnettävissä Meltdowniin.

Sami Riitaoja tuolla aiemmin mainitsi saman asian, mitä pohdiskelin eilen nukkumaan mennessä itsekseni. Tuo Meltdown rautabugihan ei mihinkään poistu millään kernel-päivityksellä ja haavoittuvuus sinällään siis säilyy edelleen. Päivityksen jälkeen on vain luotettava siihen softaan, eli käyttikseen, että homma todellakin toimii 100%:n turvallisesti. Jos ylläpitäisin jotain pirun kriittistä järjestelmää, en olisi edelleenkään täysin rauhallisin mielin tietäen, että se Meltdown on edelleen olemassa.
Käsittääkseni Spectrestä puolet (variantti 1) korjataan nimenomaan noilla softapäivityksillä ja esimerkiksi AMD:n kohdalla kukaan ei ole sitä variantti 2:sta onnistunut vielä demonstroimaan niiden prossuilla vaikka se teoriassa ilmeisesti onkin haavoittuva
 
AV-softat taas loistaa :D

https://support.microsoft.com/en-us...garding-the-windows-security-updates-released

El jotkut 3rd party-antivirus-softat tekee jotain temppuja jotka ei toimi näiden patchien kanssa, ja kaataa koneen.

Ja tämän takia patchejä ei oletuksena asennetakaan kaikille.


Tämä taas entisestään vahvistaa sitä pointtia, että nykyään käyttäjällä, joka yhtään tietää mitä tekee (eikä ole ajamassa jokaista pornosivun tai phishing-mailin tarjoamaa exe-tiedostoa) odotusarvo AV-sofiten aiheuttamille ongelmille on suurempi kuin odotusarvo AV-softien ehkäisemille ongelmille.
 
Viimeksi muokattu:
Käsittääkseni Spectrestä puolet (variantti 1) korjataan nimenomaan noilla softapäivityksillä ja esimerkiksi AMD:n kohdalla kukaan ei ole sitä variantti 2:sta onnistunut vielä demonstroimaan niiden prossuilla vaikka se teoriassa ilmeisesti onkin haavoittuva


Näin ainakin AMD selittää, että ykkösen voi korjata softalla:
An Update on AMD Processor Security | AMD

Ja sitten taas tuohon kakkoseen nimenomaan oli nuo päivitykset, josta Linus otti taas kierroksia. Katsoo sen threadin ekan postin:
LKML: Andi Kleen: Avoid speculative indirect calls in kernel

"This is a fix for Variant 2"
 
AV-softat taas loistaa :D

https://support.microsoft.com/en-us...garding-the-windows-security-updates-released

El jotkut 3rd party-antivirus-softat tekee jotain temppuja jotka ei toimi näiden patchien kanssa, ja kaataa koneen.

Ja tämän takia patchejä ei oletuksena asennetakaan kaikille.


Tämä taas entisestään vahvistaa sitä pointtia, että nykyään käyttäjällä, joka yhtään tietää mitä tekee (eikä ole ajamassa jokaista pornosivun tai phishing-malin tarjoamaa exe-tiedostoa) odotusarvo AV-sofiten aiheuttamille ongelmille on suurempi kuin odotusarvo AV-softien ehkäisemille ongelmille.



Onkohan noi perus AV - softia vai näitä next-generation softia, esmes Sylance tai Traps... Ois kiva tietää.
 
Mainitsemisen arvoista että VMware ei tarvitse erillistä korjausta Meltdownille.

VMWare sanoi:
A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides. Lähde
 
https://support.microsoft.com/en-hk...or-it-pros-to-protect-against-speculative-exe

Siitä testaamaan päivityksen jälkeen. Kiinnostaa tietää onko AMD:n prossun omaavissa systeemeissä tuo korjaus käytössä.

E: Ilmeisesti korjaus vaatii Microsoftin mukaan vielä prossun firmware/mikrokoodipäivityksiä

"Customers who only install the Windows January 2018 security updates will not receive the benefit of all known protections against the vulnerabilities. In addition to installing the January security updates, a processor microcode, or firmware, update is required. "
 
Testasin pikaisesti PTI:n vaikutusta Ryzenillä kun oli backportattu 4.14.11:een ja enabloin sen mielenkiinnosta.

Reippaasti säikeitä synkronoivalla koodinpätkällä niin pienellä datasetillä, että 16 säiettä dippaa joka tapauksessa luokkaa 7 kertaa hitaammaksi yhteen säikeeseen nähden, oli vain 0-3 % luokkaa hitaampi PTI:llä. Datasetillä, joka oli 16 säikeellä lähes yhtä nopea kuin yhdellä, hidastui ~8 %. Tuosta reilu kuusi kertaa enemmän laskentaa vaativa setti (reilu 2,5x single thread - nopeus) hidastui reilu 4 %. Tuosta 16 kertaa enemmän laskentaa vaativa pysyi ~1 % pinnassa.

Ffmpeg:llä enkoodaus x264:lla SD-filu pienellä bitratella ei hidastunut (prossu idlasi ~1/3 suoritinajasta), mutta systime näkyi kasvaneen 25 % (kuitenkin alle prosentti koko suorittimen käyttöajasta).
 
Tiedote on uusi, mutta tuo suositeltu paikkaus on julkaistu jo 2017 syyskuussa. Joko ovat tienneet siellä sisäpiirin kautta jo siinä vaiheessa jotain, tai sitten onnistuivat tekemään paikkauksen tuurilla tulevaisuutta varten. :D
Eiköhän vmware ole tiennyt tuon olemassa olon. Samaan tapaan kuin Apple paikannut osittain High Sierran jo 6.12.2017. Nyt sitten vasta ilmoittavat asiasta.

Haavoittuvuus 001/2018: Meltdown- ja Spectre -hyökkäykset hyödyntävät prosessorien ongelmia
Myös useat muut valmistajat, kuten VMWare, Citrix, Google, Mozilla ja F5 ovat julkaisseet päivityksiä.
 
Näemmä omakin Windows löysi päivityksen tuohon Meltdowniin, ainakaan 3DMark Firestrikessä ei mitään vaikutusta suorituskykyyn (jos jotain kiinnostaa). Nuo <1% erot menee tässä testissä virhemarginaaliin:

Result
 

Statistiikka

Viestiketjuista
262 354
Viestejä
4 553 627
Jäsenet
74 959
Uusin jäsen
sorjonen

Hinta.fi

Back
Ylös Bottom