Казалось бы, что после обнаруженных больше года назад уязвимостей Meltdown и Spectre уже ничто не испугает поклонников и пользователей процессоров Intel. И всё же компании снова удалось нас удивить. Точнее, удивили исследователи уязвимостей в микроархитектуре процессоров Intel. Пакет новых уязвимостей под общим названием microarchitectural data sampling (MDS) грозит поставить крест на технологии многопоточных вычислений или Hyper-Threading (в общем случае ― simultaneous multithreading, SMT). Выяснилось, что атака с помощью одного из вариантов MDS может прервать изоляцию одного из потоков Hyper-Threading и облегчить доступ к чувствительным данным в буферах и портах процессоров (уровнем ниже кеш-памяти первого уровня). Что с этим делать? Первое, что приходит на ум ― отключить Hyper-Threading, что и сделали разработчики ChromeOS. Что при этом станет с производительностью процессоров? Она снизится. Степень замедления может достичь 40 %, а может и больше.Пока мало кто из разработчиков операционных систем и приложений последовал по пути ChromeOS, но заплатки и обновления не задержались. Компания Apple выпустила обновления для фирменных компьютеров и ноутбуков, продающихся с 2011 года. По словам компании, все системы под управлением macOS Mojave 10.14 уже пропатчены. Это предотвратит атаки через Safari и другие приложения. При этом большинство пользователей не должны почувствовать снижения производительности. Полное предотвращение угрозы, тем не менее, подразумевает отключение Hyper-Threading, что может снизить производительность до 40 %. Патчи для ОС Sierra и High Sierra также будут выпущены. Продукцию iPhone, iPad и Watch данные уязвимости не затрагивают.Компания Google готовит заплатки для Android и будет обновлять Chrome. Следует сказать, что Android надо защищать от уязвимостей MDS только на x86-совместимых платформах (за это отдельное спасибо Intel за процессоры Atom). Патчи для смартфонов и планшетов на платформах Intel должны выпустить производители устройств, а Google уже готова рассылать необходимый для этого исправленный код. Хромбуки (Chrome OS) уже защищены патчами от новых уязвимостей, а в дальнейшем для этого будет исправлена сама операционная система. В то же время Google призывает пользователей убедиться, что производители устройств выпустили необходимые заплатки и (или) эти заплатки предоставили компании Microsoft и Apple как разработчики операционных систем. Для облачных платформ и ЦОД компания Google уже распространила патчи для защиты серверных процессоров от MDS.Разработчик браузера Firefox компания Mozilla представит пропатченные версии приложения 21 мая. Это будут Firefox версии 67 и Extended Support Release версии 60.7. Браузеры Firefox Beta и Firefox Nightly уже включают необходимые исправления для защиты от новой уязвмости.Компания Microsoft также выпустила заплатки для операционных систем и облачных платформ. Правда, компания рекомендует получить исправленный микрокод у производителей устройств, хотя также создала страничку для самостоятельной загрузки исправлений. В пакет автоматических обновлений через сервис Windows Update заплатка также внесена и будет распространяться начиная с четверга. Сервис Microsoft Azure уже защищён от новых уязвимостей. Облачный сервис Amazon AWS также пропатчен.Наконец, вышли заплатки для таких операционных систем на Linux, как Red Hat и Ubuntu. Продолжение следует.https://3dnews.ru/987490
>>5141596https://google.gik-team.com/?q=+%D0%A7%D1%82%D0%BE+%D1%8D%D1%82%D0%BE+%D1%82%D0%B0%D0%BA%D0%BE%D0%B5+Hyper-Threading+%D0%B8+%D0%B4%D0%BB%D1%8F+%D1%87%D0%B5%D0%B3%D0%BE%3F+
А ведь из чего появились эти уязвимости? Штеуд не мог наращивать производительность процессоров - нежные кристаллы не выдерживали перегрева, плюс ещё сперма под крышкой, а не припой как у амд. Тогда они решили а нахуй нашим процессорам делать вычисления, если большинство задача повторяется, вот вам блок предсказаний, он заранее знает какой будет ответ. Но как известно предсказания никогда не были точными, вспомните Вангу. Ну а тесты обзорщиков и маняграфики показали повышенную производительность по сравнению с амд и пользователи сами залили себе это говно в материнские платы.
>>5141639Ну эти методы при любой базовой производительности еще бесплатно дают, так хуле их не использовать?
>>5141670Айпады уязвимости не затрагивает, там же не ссаный штеуд там брендовые уязвимости сразу от эпла
>>5141524 (OP)== Следует сказать, что Android надо защищать от уязвимостей MDS только на x86-совместимых платформахА Андроид уже на ПК ставят?
>>5141541да ладно сурьизно? А кто больше всех пиздел АМУДЭ ХУЙНЯ А ТЕПЕРЬ УРОДЫ СТАВИТЕ В СВОИ ПК АМДГОРИТЕ В АДУ ДЕБИЛОЙДЫ
>>5141524 (OP)>Фактически, для выполнения атаки при помощи ZombieLoad вы должны каким-то образом загрузить зараженное приложение и самостоятельно запустить его, тогда уязвимость поможет злоумышленнику скачать все ваши данные.
>>5141911Ну NetSpectre же есть. Зачем ты думаешь хром и лиса патчи делают? Вторым пунктом после локального PoC'a всегда идет порт в браузер на JS.
>>5141977Ага самое смешное амд выпускает идентичный интелу проц который на 500-600 баксов дешевле стоит. Нормально так интел своих хомячков трахает. А щас когда на пятки уже наступает конкурент сразу ВОТ БЛЯДЬ СКИДКА ВАМ ВОТ БЛЯДЬ ОООЙ БЛЯ У НАС ЖЕ НЕ ОСВОЕНО 7 НМ НУ ПИЗДААА НЕ ВОЛНУЙТЕСЬ У НАС САМЫЕ ЛУЧШИЕ ПРОЦЕССОРЫ ЙОБА!
>>5141960Если патчи для браузеров выпускаются, то зачем заботиться об уязвимости которую надо сначала запустить самостоятельно? С таким отношением и вишмастер можно протолкнуть как дохуя уязвимость.
>>5142005Подожди. Сейчас амудэ увидит как интел делает из воздуха деньги и тоже начнет выпускать замедляющие патчи и совершенно новые процессоры без уязвимостей.
>>5142015Спектра и мелтдавн уязвимости которые работают онли в лабораторных условиях. В условиях реальных злоумышленники заебуться расшифровывать полезные данные которые наловили рандомно в кеше.
>>5141812Лол, мань, так я и говорю об этой, причем тут ранние, если на них уже давно латки выпустили?
>>5142067>лабораторных условияхКогда речь идет об академе/коммерсах или соло-рисечерах. У NSA ресурсов побольше.
>>5142067Наоборот, если в зассаных лабораториях воспроизвели, то в застенках спецслужб с огромным штатом и баблом уже давно есть вариации использования под любой тостер.
>>5142015>Если патчи для браузеров выпускаются, то зачем заботиться об уязвимости которую надо сначала запустить самостоятельноЭксплойт без обхода сэндбокса ничего не стоит. В таких случаях может быть полезна уязвимость вроде той, что описана в новости. Т.е. доставка не проблема, особенно для тех, кто в состоянии допилить сплойт до вменяемого уровня полезности.
>>5142213Типикал неуловимый джо. Это говно и в мыслях не у кого не было аудировать. Разве что для смеха. Любому триплайкью ясно, что дыр там не меньше.
>>5142331>100Достаточно, чтобы понять, что мертворожденный выкидыш двадцатилетней выдержки от профессиональных "догоняльщиков" на зарплате никакой security-by-design содержать по определению не может.
>>5142364Порвался ты знатно в любом случае. Не понятно только почему. И да security-by-design делается очень легко засчёт накладывания кучи ограничений. Почитай как микро ядра доказывают.
>>5142255Ты вообще читал его суть? Если специально в заданные ячейки памяти не сувать данные хуй что выловишь дельное. Можно в хипе годами копаться
>>5142388>очень легкоТебе в интел, дорогуша, здесь не надо распинаться.>Порвался ты знатно в любом случаеМимо, каргопрожектики разве что ухмылки стоят.
>>5142415что только интелохомячки не придумают.@nicowaisman: This is actually pretty cool!CANVAS release the first public Windows exploit for spectre. Leaks the SAM filehttps://vimeo.com/319506545/700df0f25d
