Очередное подсовывание тестирования на линукс, ну сколько можно...Sanьka:Короче все в одной лодке не только Интел и АМД, а и АРМ.
Зато
Тесты заплатки для CPU Intel: производительность в играх не затронута https://3dnews.ru/963636
Останні статті і огляди
Новини
Новая уязвимость процессоров Intel доставит проблемы дата-центрам
-
KROOM
Member
- Звідки: Днепр
-
Scoffer
Member
Taurm
Я якраз читав. Чуваки використали іншу вразливість хромика щоб потрапити до пам'яті своєї вкладки і за допомогою Meltdown перейшли до пам'яті чужої вкладки. Теж мені проблема. Вони це могли зробити і без всіляких Meltdown. Гугл вразливість вже закрив. Онови хром і буде щастя.
В штатній роботі, без використання вразливостей браузера, js не може отримати доступ до пам'яті, немає там таких механізмів. А якщо браузер зламали, то тобі і не такого наставлять.
Я якраз читав. Чуваки використали іншу вразливість хромика щоб потрапити до пам'яті своєї вкладки і за допомогою Meltdown перейшли до пам'яті чужої вкладки. Теж мені проблема. Вони це могли зробити і без всіляких Meltdown. Гугл вразливість вже закрив. Онови хром і буде щастя.
В штатній роботі, без використання вразливостей браузера, js не може отримати доступ до пам'яті, немає там таких механізмів. А якщо браузер зламали, то тобі і не такого наставлять.
-
Taurm
Member
- Звідки: Dallas-Fort Worth
Scoffer
https://spectreattack.com/spectre.pdf
"Attacks using JavaScript. In addition to violating process isolation boundaries using native code, Spectre attacks can also be used to violate browser sandboxing, by mounting them via portable JavaScript code. We wrote a JavaScript program that successfully reads data from the address space of the browser process running it."
Точно читали?
https://spectreattack.com/spectre.pdf
"Attacks using JavaScript. In addition to violating process isolation boundaries using native code, Spectre attacks can also be used to violate browser sandboxing, by mounting them via portable JavaScript code. We wrote a JavaScript program that successfully reads data from the address space of the browser process running it."
Точно читали?
-
Scoffer
Member
Taurm
Там можна було виконати цілий набір інших атак.
Це бок санбоксу хрома в чистому вигляді. Вже виправлений бок.JavaScript does not provide access to the rdtscp instruction,
and Chrome intentionally degrades the accuracy
of its high-resolution timer to dissuade timing attacks
using performance.now() [1]. However, the
Web Workers feature of HTML5 makes it simple to create
a separate thread that repeatedly decrements a value
in a shared memory location [18, 32].
Там можна було виконати цілий набір інших атак.
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
Я правильно понимаю, что MIPS тоже в лодке?
-
Scoffer
Member
LostBoy
А от біс його знає. Там тих реалізацій 100500 штук.
У кожного першого свій особливий MIPS, з власним блекджеком.
А от біс його знає. Там тих реалізацій 100500 штук.
У кожного першого свій особливий MIPS, з власним блекджеком.
-
Taurm
Member
- Звідки: Dallas-Fort Worth
Там ни слова про бок хрома, основная проблема это точно замерять время, и то что вы написали это только один из способов - самый простой. И он работает во всех браузерах с поддержкой web workers. Если что, то способов море:Scoffer:TaurmЦе бок санбоксу хрома в чистому вигляді. Вже виправлений бок.JavaScript does not provide access to the rdtscp instruction,
and Chrome intentionally degrades the accuracy
of its high-resolution timer to dissuade timing attacks
using performance.now() [1]. However, the
Web Workers feature of HTML5 makes it simple to create
a separate thread that repeatedly decrements a value
in a shared memory location [18, 32].
Там можна було виконати цілий набір інших атак.
https://gruss.cc/files/fantastictimers.pdf
-
Scoffer
Member
І ще одне. Жодна з цих нових вразливостей не дозволяє записати дані в чужу пам'ять. Лише прочитати.
Тобто потенційний Петя v Next зможе накрастися паролей, але не зможе напряму все пошифрувати.
Тобто потенційний Петя v Next зможе накрастися паролей, але не зможе напряму все пошифрувати.
-
catdoom
Member
Так это нормально когда кто то может прочитать ваши пароли,ключи шифрования ? 
Самым дешёвым,защищённым современным ПК для офисов будет B350+ A6-9500.
Ну что там с контрактами Интел на 10-лет в перёд,можно ли их теперь расторгнуть ?
Самым дешёвым,защищённым современным ПК для офисов будет B350+ A6-9500.Ну что там с контрактами Интел на 10-лет в перёд,можно ли их теперь расторгнуть ?
- спойлер
- Несанкционированная сторона может считывать конфиденциальную информацию в памяти системы, такую как пароли, ключи шифрования или конфиденциальную информацию, открытую в приложениях. Тестирование также показало, что атака, выполняемая на одной виртуальной машине, имела возможность получить доступ к физической памяти хост-машины, и через это получить доступ для чтения к памяти другой виртуальной машины на том же хосте.
Уязвимости можно разбить на три категории: Вариант 1-3. Вариант 1 является программным патчем и затрагивает почти все современные процессоры. Сам патч будет иметь незначительную производительность. Варианты 2 и 3 укоренены в аппаратных средствах и не могут быть заменены никакими известными средствами кода. Попытка исправить их с помощью программного обеспечения приведет к поражению производительности, и до сих пор они, похоже, влияют на процессоры Intel и ARM с почти нулевым уровнем риска для процессоров AMD.
Группа безопасности компании добавила, что недостатки были впервые выявлены в прошлом году, и индустрия с тех пор пыталась ее исправить. Первоначально данные этих вопросов безопасности должны были публиковаться 9 января. Однако благодаря растущим спекуляциям по поводу проблем и ожидаемому повышенному риску эксплуатации, полный отчет Project Zero стал доступен общественности.
Востаннє редагувалось 04.01.2018 12:07 користувачем catdoom, всього редагувалось 1 раз.
-
GoToHell
пес Патрон
о-хо-хо, IBM POWER8/POWER9 тоже под раздачей https://access.redhat.com/security/vuln ... eexecution. 
Живым никто не уйдёт!!!111адин1
Собсно это отличный повод наконец-то избавится от x86 и таки начать делать что-то новое
Живым никто не уйдёт!!!111адин1
Собсно это отличный повод наконец-то избавится от x86 и таки начать делать что-то новое
-
Scoffer
Member
GoToHell
чорт, а спочатку писали, що все норм
залишилось дочекатись про спарки, і якщо і там аналогічно - можна згортати до біса світову іт інфраструктуру
чорт, а спочатку писали, що все норм
залишилось дочекатись про спарки, і якщо і там аналогічно - можна згортати до біса світову іт інфраструктуру
-
Jumper007
Member
- Звідки: Чернигов
Scoffer
Не нада усугублять
Об этой уязвимости известно уже пол года - год точно, при чем известно в интересной форме, какие-то чуваки из каких-то "организаций" (типа прожект зеро и т.п.) все это нашли и интелу отправили в красивом письме
, и почему-то ни кого это не беспокоило и не было паники, а тут вдруг 2018 наступил и началось.
Не нада усугублять
Об этой уязвимости известно уже пол года - год точно, при чем известно в интересной форме, какие-то чуваки из каких-то "организаций" (типа прожект зеро и т.п.) все это нашли и интелу отправили в красивом письме
, и почему-то ни кого это не беспокоило и не было паники, а тут вдруг 2018 наступил и началось.-
mavrsmart
Member
- Звідки: Запоріжжя
Ноутбучный ивик с только что прилетевшим ядром 4.14
- спойлер
- Processor Name: Intel(R) Core(TM) i5-3320M CPU @ 2.60GHz
OS Version: debian 9.3 (4.14.0-0.bpo.2-amd64)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 8.1.40.1416
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
-
Sanьka
Member
Вот тест в винде
Разницы нет. Батла даже на 1фпс больше
Разницы нет. Батла даже на 1фпс больше
-
desconocido
Member
- Звідки: Киев
Ну да, ничего страшного. Может паролей/хешей парочку для аутентификации по сети, может каких токенов/дескрипторов, чуток по указателям пройтись, чуток с буферов почитать всячины какойнить бесполезной. Если с чужой ВМки - тоже ничего страшногоScoffer:Лише прочитати.
Тобто потенційний Петя v Next зможе накрастися паролей, але не зможе напряму все пошифрувати.
Гугловцы (если это из-за них весь этот сыр-бор) молодцы - интересный материал.
-
kolia
Member
- Звідки: Киев
школо гаминг может спать спокойно планета спасенаSanьka:Вот тест в винде
Разницы нет. Батла даже на 1фпс больше
-
Jumper007
Member
- Звідки: Чернигов
Sanьka
Та пофиг всем на домашние пк, даже наоборот интел рад этой утечке так как это очередной повод продать нам новый более мощный проц. А вот представь, дата центр гугла обрабатывающий всю гмейл почту, и его производительность падает на 30% ...
Та пофиг всем на домашние пк, даже наоборот интел рад этой утечке так как это очередной повод продать нам новый более мощный проц. А вот представь, дата центр гугла обрабатывающий всю гмейл почту, и его производительность падает на 30% ...
-
Sergey771
Member
- Звідки: Днепр
на 10 -ые окна с утра апдейт уже прилетел (тестировать времени нет )
-
Alexsandr
Member
помнится и первый петя накрал паролей и потом заходил на комп как к себе домой с паролями.Scoffer:І ще одне. Жодна з цих нових вразливостей не дозволяє записати дані в чужу пам'ять. Лише прочитати.
Тобто потенційний Петя v Next зможе накрастися паролей, але не зможе напряму все пошифрувати.