[uanog] Project Zero: В Новый Год - с новым багом!

Volodymyr Litovka doka.ua at gmail.com
Fri Jan 5 15:49:04 EET 2018 

Ключевым в ответе Интела можно считать - "не только мы мудаки" :) 
остальное - вода.

On 1/5/18 3:46 PM, Mykola Ulianytskyi wrote:
> Subj: Официальное заявление Intel по поводу обнаруженной критической уязвимости
>
> Вчерашняя новость о том, что в процессорах Intel была обнаружена
> критическая уязвимость, исправления которой может значительно повлиять
> на производительность этих самых процессоров, взбудоражила
> общественность. Компания Intel просто не могла не отреагировать на
> это, и поэтому опубликовала соответствующий пресс-релиз, полный текст
> которого мы постарались максимально точно перевести на русский:
>
> "Intel и другие технологические компании были ознакомлены с новыми
> исследованиями в области безопасности, описывающими программные методы
> анализа, которые при использовании в злонамеренных целях могут
> собирать конфиденциальные данные с вычислительных устройств. Intel
> полагает, что эксплойты [построенные на использовании этой уязвимости]
> не могут повредить, изменить или удалить данные.
>
> Недавние сообщения о том, что эксплойты, вызванные этой "ошибкой" или
> "недостатком", уникальны для продуктов Intel, неверны. Основываясь на
> проведённом, на сегодняшний день анализе, многие типы вычислительных
> устройств – с множеством процессоров и операционных систем от разных
> производителей – восприимчивы к данной уязвимости.
>
> Intel стремится к безопасности своих продуктов и клиентов, и тесно
> сотрудничает со многими другими технологическими компаниями, включая
> AMD, ARM Holdings и несколькими поставщиками операционной системы, для
> разработки комплексного подхода к решению этой проблемы быстро и
> конструктивно. Корпорация Intel начала предоставлять обновления
> программного обеспечения и прошивки для минимизации этой уязвимости.
> Вопреки некоторым отчётам, любое влияние на производительность зависит
> от конкретной рабочей нагрузки и для среднего пользователя влияние не
> должно быть значительным и со временем будет минимизировано.
>
> Intel придерживается лучшей в индустрии практики ответственного
> раскрытия потенциальных проблем безопасности, поэтому Intel и другие
> поставщики планировали раскрыть [информацию] о данной проблеме на
> следующей неделе, когда будет доступно больше обновлений программного
> обеспечения и прошивок. Тем не менее, Intel делает это заявление
> сегодня из-за появления неточных сообщений в средствах массовой
> информации.
>
> Обратитесь к поставщику или производителю вашей операционной системы и
> примените любые доступные обновления, как только они будут доступны.
> Следование основным принципам, помогающим защититься от вредоносного
> ПО в целом, также позволит остаться защищённым от возможной
> эксплуатации [уязвимости] до тех пор, пока не будут применены
> обновления.
>
> Intel считает, что её продукты являются самыми безопасными в мире, и
> при поддержке партнёров, текущие решения этой проблемы обеспечат
> максимальную безопасность для клиентов."
>
> Собственно, Intel пытается нас убедить, что на самом деле серьёзность
> проблемы преувеличена, а также что не только её процессоры обладают
> данной уязвимостью. Кроме того, компания считает, что "заплатка",
> которая исправит данный "недостаток" не должна повлиять на
> производительность систем.
>
> https://www.overclockers.ru/hardnews/88813/oficialnoe-zayavlenie-intel-po-povodu-obnaruzhennoj-kriticheskoj-uyazvimosti.html
>
>
> ---
>> компания считает, что "заплатка", которая исправит данный "недостаток" не должна повлиять на производительность систем.
> Выключен PTI:
> # dd if=/dev/zero of=xxx bs=512 count=5000000
> 1.1 GB/s
>
> Включен PTI:
> # dd if=/dev/zero of=xxx bs=512 count=5000000
> 520 MB/s
>
> <censored>.
>
> --
> Best regards,
> Mykola
>
>
> 2018-01-05 13:07 GMT+02:00 Taras Heichenko <tasic at academ.kiev.ua>:
>> Интересно, сколько AMD заплатил за обнаружение этих дырок в Intel? ;)
>>
>> 5 січня 2018 р. 12:28:21 EET, Valentin Nechayev <netch at netch.kiev.ua>
>> написав:
>>>   Fri, Jan 05, 2018 at 12:02:22, unisol wrote about "Re: [uanog] Project
>>> Zero: В Новый Год - с новым багом!":
>>>
>>>>   Интересно ещё одно - решаемо ли это через "cpu microcode update" ?
>>>>   Можно ж просто выключить предсказатель ветвлений...
>>>
>>> И потерять в скорости раз в пять? Вряд ли на это пойдут...
>>>
>>>
>>> -netch-
>>> ________________________________
>>>
>>> uanog mailing list
>>> uanog at uanog.kiev.ua
>>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>> --
>> Відправлено з мого Android пристрою з K-9 Mail. Вибачте за стислість.
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20180105/2280555a/attachment.html>

More information about the uanog mailing list