AMD признала наличие процессорных уязвимостей, обнаруженных CTS Labs

[Ooops]

Fargo
При наличии прав администратора, никакие дополнительные уязвимости уже особо и не нужны.Вроде очевидно,или нет?

[balalaika]

Когда лаба им.Хромакея с серьёзным лицом говорила об уязвимостях при полном администраторском доступе к компьютеру можно было только посмеяться...

Однако...

Хакер с правами администратора.
Сидит и думает - какой бы эксплойт использовать, как бы извратиться?

Вот же бред...

[IvanCh]

ЩОдо інтелу почитав сьогодні переписку Лінуса.
Так на його думку Інтел тупо забила болт на виплавлення вразливостей бо погано виглядатимуть бенчмарки.
ну й коронні фрази:
BULLSHIT.
WHAT THE F*CK IS GOING ON?

The whole IBRS_ALL feature to me very clearly says "Intel is not
serious about this, we'll have a ugly hack that will be so expensive
that we don't want to enable it by default, because that would look
bad in benchmarks".

[Prescott]

Год уязвимостей ? Что это о них так часто вспоминают в последнее время ?

[Kib]

Год уязвимостей ? Что это о них так часто вспоминают в последнее время ?

Лізуть в якесь залізо наче воно стоїть в компах, які ядерні ракети запускають, в той час як найбільша вразливість для масового ринку це вразливість софту, і сама ОС тут на першому місці.

[shooter9688]

Справедливости ради там какая то уязвимость могла аппаратно повредит устройство под админом. Это все таки нехорошо.

[Scoffer]

"Всього-лише" під адміном насправді означає що юзер разово підчіпляє заразу, вона записується в конфігурацію secure processor, і звідти починає робити свої справи. Юзер буде оновлювати антивіруси, чи навіть перебивати ОС, але все марно. Треба оновлювати UEFI. Часто ваші знайому домохазяйки лізуть в UEFI щоб його оновити?

Це вам не спектр, про котрий чорт зна коли дізнались, але і досі ніхто не вигадав як можна експлуатувати в реальних умовах.

[Бедный студент]

Тьху... Я вже подумав щось серйозне, а тут для того щоб ними користуватись треба root права.
Для вирішення було прийнято такі дії:
- змінено пароль з "123456" на складніший.
Profit!

Отправлено спустя 2 минуты 7 секунд:

"Всього-лише" під адміном насправді означає що юзер разово підчіпляє заразу, вона записується в конфігурацію secure processor, і звідти починає робити свої справи. Юзер буде оновлювати антивіруси, чи навіть перебивати ОС, але все марно.

Точняк, не подумав...

[IvanCh]

Ну обовлять мікрокод, в чім проблема то?

[echo91]

Хакер с правами администратора.
Сидит и думает - какой бы эксплойт использовать, как бы извратиться?

перепрошивающий биос, более того

[Aivers]

прикольная уязвимость...чтоб об неё сломать голову, нужно её сразу сломать перед кражей чужого компа

[white_noise]

Это уже попахивает на шантаж производителей компьютерного железа.
Нвидиа следующая.

ознакомься: Шантаж. тебе производители железа выдвигают какие-то требования? что-то вымогают?

да и вообще фраза "попахивает на шантаж" - *фэйспалм*

лучше б ты в школу ходил а не комменты на оверах строчил.

[tcpdump]

Prescott
Скорее не год уязвимостей, а год новых маркетинговых ходов. Борьба чипмейкеров несколько оживилась, и в ход пошли всякие более интересные методы чем "смарыте сколько попугаев/фпс оно выдаёт". Жду похожих уязвимостей в другом железе, видяшках там или прошивке винтов
ну и да, фиксить это всё конечно надо, в обязательном порядке, но эти все спектры/райзенфоллы ни разу не 0day, да и мне соотношение найденных/не найденных уязвимостей представляется как айсберг с надводной и подводной частью

[Ooops]

Scoffer
До сегодняшнего дня и шифровальщиков не было и биосы не модифицировались/повреждались зловредами?

Главная уязвимость любой системы - её пользователь.Если условная домохозяйка даёт добро на исполнение любого рандомного кода,подцепленного в сети,то и последствия могут быть какие угодно.
Отличия уязвимостей из статьи от спектра и мелдауна в том,что нормальные пользователи,соблюдающие элементарные правила компьютерной санитарии, не пострадают даже гипотетически,да и пофиксится это дело обновлением микрокода.От мелдауна же (на самом деле,от заплатки для него) пострадало большое количество владельцев камней от интела,потеряв в производительности системы даже не сталкиваясь с эксплоитами его использующими,от незначительного в типичных обывательских режимах эксплуатации,до существенных 30 % в некоторых спецефических задачах независимо от уровня компьютерной грамотности.
А типичную домохозяйку и без любых уязвимостей спасёт только дядя по объявлению или добрый сосед,при условии что домохозяйка симпатичная.

[Alex Pepper]

Короче вкратце что-то типа, если вор взломал замок на вашей двери, попал в ваш дом, а потом украл золото из шкатулки, то виноват производитель шкатулки

[WWQ]

с тем же успехом можно подойти к "оператору ПК" дать ему в ухо, сесть на его место и получить доступ к его пк... гениально... вот это они бажину откопали...

[sl5vik]

Короче вкратце что-то типа, если вор взломал замок на вашей двери, попал в ваш дом, а потом украл золото из шкатулки, то виноват производитель шкатулки

Трошки не так, злодія запустили в дім добровільно, а винен виробник шкатулки

[Headin]

Что меня больше всего порадовало - с момента обнаружения Spectre и Meltdown до опубликования прошло ПОЛГОДА, а тут 1 ДЕНЬ!
Ну прям вообще никаким образом не маркетинг...
Да и это лечиться 1 вещью - не давать админ права левым прогам, и все...
Разница в том, что для Spectre и Meltdown не нужен админский доступ, тот тут нужен, и то его не всегда хватает, и нужно целенаправленно заражать БИОС левым кодом..
Тут скорее похоже на заказ Intel...

[Pavvert]

"Всього-лише" під адміном насправді означає що юзер разово підчіпляє заразу, вона записується в конфігурацію secure processor, і звідти починає робити свої справи. Юзер буде оновлювати антивіруси, чи навіть перебивати ОС, але все марно. Треба оновлювати UEFI. Часто ваші знайому домохазяйки лізуть в UEFI щоб його оновити?

А антивирус разве не может проверить, что BIOS заражен этой уязвимостью?

[Scoffer]

Pavvert
Антивірус біоси не перевіряє. Не вистачало ще.