Ненене, ребят, если кто не понял — я реально спрашивал про момент, когда у интела начали серьезные дыры массово находить (и главное — озвучивать), это не стёб и не троллинг были. Какой год? 17?
15 мая 2019 г.
CNews.ru: Главные новости
15.05 18:09, Мск
В процессорах Intel найдены сразу четыре новых «дыры». Их исправление затормозит ПК до 40%
Эксперты по информбезопасности выявили и описали четыре новые уязвимости, позволяющие выводить данные из различных компонентов современных процессоров. Для исправления потребуются обновления микрокода процессоров и патчи для операционных систем.
Трое на четверых
В процессорах Intel обнаружились сразу четыре новые уязвимости, связанные со спекулятивным выполнением инструкций. Эксперты по безопасности тотчас же описали четыре разных типа кибератак на эти уязвимости, получившие собственные названия RIDL, Fallout и ZombieLoad.
Эти уязвимости позволяют красть пароли, криптографические ключи любые другие типы данных, загружающиеся или хранящиеся в памяти процессора.
Уязвимости получили следующие индексы: CVE-2018-12126: микроархитектурная выборка данных в буфере хранения (Microarchitectural Store Buffer Data Sampling); CVE-2018-12130: микроархитектурная выборка данных в буфере загрузки (Microarchitectural Fill Buffer Data Sampling); CVE-2018-12127: микроархитектурная выборка данных порт загрузки (Microarchitectural Load Port Data Sampling); CVE-2019-11091: микроархитектурная выборка данных некэшируемой памяти (Microarchitectural Data Sampling Uncacheable Memory). Названия указывают, из какого элемента процессора может происходить утечка данных.
Новые уязвимости оказываются возможными в силу использования принципа спекулятивного выполнения инструкций, — основного метода оптимизации производительности современных процессоров.
Чтобы повысить скорость работы, процессоры прогнозируют, выполнение каких инструкций потребуется от них в ближайшее время, и начинают их выполнять досрочно. Если прогноз подтверждается, процессор продолжает выполнять инструкцию. Если же оказывается, что в ее выполнении не было необходимости, все то, что процессор уже успел сделать, откатывается назад. При этом данные прерванного выполнения могут сохраняться в кэше и могут быть оттуда извлечены.
источник: filearchive.cnews.ru
В новогодний период 2018 г. мир потрясло известие об обнаружении первых уязвимостей, связанных со спекулятивным выполнением инструкций, — Meltdown и Spectre. И в то время как киберуязвимости лишь в исключительных случаях получают собственное название, выявление Spectre и Meltdown оказалось беспрецедентным по своим масштабам и степени угрозы событием: эти уязвимости затрагивали все мало-мальски новые процессоры Intel, и, как выяснилось позже, разработки других производителей тоже. В результате в мировой прессе произошедшее стали именовать «чипокалипсисом». В дальнейшем оказалось, что помимо Spectre и Meltdown современные процессоры содержат ещё множество сходных ошибок.
RIDL, Fallout, ZombieLoad
Вновь найденная атака RIDL (Rogue In-Flight Data Load) позволяет, в частности, выводить данные, проходящие через порты загрузки и буферы заполнения. На практике это означает, что злоумышленники, имеющий возможность запуска непривилегированного кода в системе на базе уязвимых процессоров, может красть данные из других программ, запущенных на той же машине, минуя любые защитные барьеры — защиту других приложений, ядра операционной системы, других виртуальных машин и даже безопасных SGX-анклавов.
Атака Fallout позволяет выводить данные из буфера хранения CPU, которые используются каждый раз, когда процессор хранит какие бы то ни было данные вообще. Это позволяет нейтрализовывать защитный механизм KASLR (рандомизация адресного пространства ядра) и выводить данные, записанные в память ядром оперцаионной системы.
Эксперты, обнаружившие Fallout, указывают, что недавние защитные меры Intel, реализованные для защиты новых процессоров от атаки Meltdown, усиливают их уязвимость перед Fallout.
ZombieLoad позволяет шпионить за частными данными просмотра и другими конфиденциальными данными. На практике это открывавет возможность следить за деятельностью пользователя в Сети, даже когда он использует защитные средства. На видео, приведённом ниже, демонстрируется возможность слежки за действиями пользователя в Сети при использовании браузера Tor и поиcковой системы DuckDuckGo. С ZombieLoad они бесполезны.
Intel опубликовала подробное описание проблем и выпустила обновления к микрокоду, снижающие угрозу от уязвимостей. Но потребуются также обновления для операционных систем.
По утверждению Intel, в процессорах Intel Core 8 и 9 поколения, а также в семействе масштабируемых процессоров Intel Xeon 2 поколения MDS-уязвимости нейтрализованы.
«Это, впрочем, не означает, что проблема решена полностью, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Скорее всего, новые методы вывода данных по побочному каналу будут появляться снова и снова, пока все уязвимые процессоры не будут выведены из употребления и, возможно, не будет пересмотрена сама архитектура CPU Intel. До этого, скорее всего, известия о новых уязвимостях и исправления будут появляться относительно регулярно».
Падение производительности?
Ряд вендоров программного обеспечения и оборудования — Amazon, Apple, Microsoft, Lenovo, RedHat, Ubuntu, VMWare, — выпустили обновления для своих разработок, предупредив, однако, что для эффективной нейтрализации уязвимостей пользователям потребуется отключить режим многопоточности в процессорах Intel.
Это неизбежно вызовет снижение производительности. Различные вендоры по-разному оценивают «масштаб бедствия», но наиболее пессимистичным представляется прогноз Apple: в опубликованном компанией бюллетене указывается, что спад производительности может достигать 40%.
Intel утверждает, что отключение многопоточности и внесение исправлений окажет лишь «весьма ограниченное» влияние на быстродействие. Наибольшее замедление (на 19%) наблюдается при использовании Java на серверах на базе процессоров Xeon Platinum 8180.
В представленном поколении Интел обещал залатать дыры. Посмотрим.
PCI-3.0 — походу проходной процессор… Интел походу соснет у АМД...
PCIe 4.0 NVMe SSD показывают просто космические скорости… Пока интел расчухается все на райзенах сидеть будут… Следующий мой проц по любому будет 16-тиядерный Ryzen R9. Гугл и Фейсбук сейчас подписали договор на поставки серверов на АМД Эмиках, а шарят что лучше, а что хуже. Так что похоже у интела намечаются большие проблемы.
PCIe 4.0 NVMe SSD показывают просто космические скорости…
Шкура неубитого медведя. Их пока нет в масовой продаже.
Материнку же не на один год покупаешь, сейчас нет, через пол года будут… АМД уже сейчас PCIe 4.0 NVMe SSD поддерживает, а интел даже в планах не имеет. Если сейчас апгрейдил бы комп, смотрел бы только на AMD с чипсетом X570.
напомните, когда у интела массово дыры находить начали?
Уязвимости, чтобы вы знали, находили даже в 486 процессоре. А массовость следствие размера и сложности процессора.
В 486 было около миллиона тразинсторов. В Сore 2 200 миллионов. Разница в сложности в 200 раз, отсюда и большее количество багов и уязвимостей.
Все эти уязвимости больше болтовня и запугивание. Что-то пока не слышно, что где-то хоть кто-нибудь этими уязвимостями воспользовался на практике. Пол России сидит на пиратских сборках Windows, где all inclusive, отключают апдейты в легальных, сидят на телефонах, где 90% производителей никакие патчи не выпускают, и при этом панически боятся дырок в интел процессоре :D
Все эти уязвимости больше болтовня и запугивание.
Не болтовня. Просто эти уязвимости сложны в реализации и много зависимостей от софта и сопутствующего железа.
Если у меня ключ от замка периодически лежит под ковриком, чтобы сосед кормил кота, то это уязвимость, но это не означает что каждый может ее использовать.
Более правильная аналогия — это положить шкатулку в сейф, сейф в доме с сигнализацией и сейфовой дверью, перед дверью ворота металлические и двор с камерами, и сидеть париться, что в шкатулке замок легко взламывается...
Меня это вообще в другом контексте интересовало. Просто похоже на ситуацию с боингом (которая позже произошла). Многолетняя тишина, а потом как из ушата полилось в куче сми (конкретно про интел).
У интела дырок нашли кучу (ну или раструбили так), у производителя чипов для амд с техпроцессом беда и грабли (не успевают спрос закрыть). Так их китайцы с корейцами на повороте обойдут скоро… За их же счет.
У них беда, потому что 3 из 4-х проданных процессоров например в германии — это райзен, сейчас вовсю штампуются АМД чипы для PS5 и Xbox Scarlett, огромный заказ эпиков фейсбука и гугла… А интел покупают только фанаты синих за старые заслуги...
