Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
OK...poprawiłem i nie będzie już chyba wątpliwości
Przepraszam za nadinterpretację.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 201
Liczba wątków: 6
Dołączył: 29.05.2014
Reputacja:
11
Jeżeli producent płyty nie oferuje aktualizacji biosu uwzględniających poprawki mikrokodu na błędy procesorów intela (i się to nie zmieni ze względu na wiek płyty w rozumieniu producenta) to te poprawki Microsoftu są coś warte aby je instalować? Bo wszędzie w zasadzie czytam, że wraz z poprawkami powinno się wgrać także aktualizację biosu.
Liczba postów: 358
Liczba wątków: 13
Dołączył: 05.01.2018
Reputacja:
41
@ wredniak Przecież odpowiedziałem na to pytanie...
Liczba postów: 201
Liczba wątków: 6
Dołączył: 29.05.2014
Reputacja:
11
(05.03.2018, 18:12)bluszcz napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] @wredniak Przecież odpowiedziałem na to pytanie... Szum medialny jest dość spory, szczerze mówiąc nie kojarzę odpowiedzi na takie pytanie, możesz podlinkować?
Liczba postów: 358
Liczba wątków: 13
Dołączył: 05.01.2018
Reputacja:
41
(07.03.2018, 22:43)wredniak napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] (05.03.2018, 18:12)bluszcz napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] @wredniak Przecież odpowiedziałem na to pytanie... Szum medialny jest dość spory, szczerze mówiąc nie kojarzę odpowiedzi na takie pytanie, możesz podlinkować? Wystarczy cofnąć się o jedną podstronę (str. 5). Twoje pytanie post 98, moja odpowiedź post 100.
Liczba postów: 201
Liczba wątków: 6
Dołączył: 29.05.2014
Reputacja:
11
Dzięki, wyleciało mi z głowy, że już zadałem to pytanie
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
He łata na Windows 7 64 która miała zatrzymać Meltdown, jeszcze bardziej otworzyła lukę w zabezpieczeniach. Pozwoliło to dowolnemu procesowi na odczyt całej zawartości pamięci.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
A tu kolejna siurpryza, choć nie do końca to samo - BranchScope
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 293
Liczba wątków: 13
Dołączył: 08.02.2015
Reputacja:
36
21.05.2018, 14:08
(Ten post był ostatnio modyfikowany: 21.05.2018, 14:12 przez zeno06.)
Kolejny przykład w jaki sposób można wykorzystać Spectre:
Cytat:Pracujący pod kierownictwem Jurija Bułygina (notabene byłego szefa zespołu badań bezpieczeństwa w Intelu) badacze z firmy Eclypsium wykorzystali kod źródłowy exploita dowodzącego możliwość ataku Spectre w wariancie pierwszym (bounds check bypass, CVE-2017-5753). Przerobili go tak, aby posłużył do obejścia zabezpieczenia SMRR (System Management Range Register) i uzyskać dostęp do danych przechowywanych w SMRAM (System Management RAM) – obszarze fizycznej pamięci, w której przechowywane są dane trybu SMM (System Management Mode), tzw. Ring -2.
Wprowadzony z procesorami Intel i386SL na początku lat 90 tryb SMM obecny jest w pecetach do kluczowych zadań firmware komputera. Działa całkowicie poza zasięgiem systemu operacyjnego czy hiperwizora, odpowiadając m.in. za zarządzanie energią (w tym np. sterowanie wentylatorami czy wyłączanie przegrzanego procesora), obsługę wydarzeń systemowych takich jak błędy pamięci, czy emulację myszki i klawiatury PS/2 na sprzęcie USB.
Użytkownik nie ma nawet pojęcia, że to się dzieje. Za każdym razem gdy jakaś instrukcja wykonywana jest w trybie SMM, procesor zawiesza działanie systemu operacyjnego i wykonuje ją sobie poza kolejnością z pełnym dostępem do firmware komputera, a także wszystkich innych umieszczonych na nim danych (...)
Teraz zespół z Eclypsium pokazał inną drogę dostania się do wrażliwego trybu procesora. Dostęp do SMM chroniony jest przez sprzętowy mechanizm rejestru zasięgu (range register), który jak się okazuje, może zostać pokonany za pomocą Spectre. Obejście to pomysłowe wykorzystanie pomiaru czasu dostępu do różnych lokalizacji pamięci poprzez instrukcje wywoływane po wymuszeniu przejścia procesora do trybu SMM – wcześniej więc trzeba dysponować exploitem na poziomie systemu operacyjnego. Napastnik może jednak w ten sposób uzyskać dostęp do całego kodu SMM i zawartych w nim danych. Co najważniejsze – może w ten sposób poszukać innych luk, do wykorzystania w malware wymierzonemu bezpośrednio w ten tryb działania procesora.
Pocieszyć w tej sytuacji mogą jedynie słowa rzecznika Intela, który stwierdził, że łatki wydane do zneutralizowania obu wariantów Spectre powinny wystarczyć, aby zablokować łańcuch ataku odkryty przez Eclypsium.
źr. i więcej:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Łatki na oba warianty Spectre? ... Ciekawe... Łata na wariant II Spectre - z tego, co pamiętam - jest wprowadzana za pomocą update'u BIOS-u. Ze znanych mi producentów do aktualizacji BIOS-u dla procesorów 4 generacji zszedł Asus i w przypadku niektórych modeli - HP. Aktualizacji BIOSów dla starszych generacji procesorów nie robi nikt (poprawcie mnie, jeśli się mylę).
Przypomina mi się teraz kultowa scena z "Maratończyka" - "Jest bezpiecznie? "
[Aby zobaczyć linki, zarejestruj się tutaj]
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Liczba postów: 201
Liczba wątków: 6
Dołączył: 29.05.2014
Reputacja:
11
Nie mylisz się, większość producentów uważa, że ich wsparcie dla starszych płyt już się wyczerpało. Nie podoba się? To zmień jednostkę.
Intel może sobie wypuszczać łatki, ale to od producentów płyt zależy czy je wykorzystają.
Liczba postów: 293
Liczba wątków: 13
Dołączył: 08.02.2015
Reputacja:
36
(22.05.2018, 03:19)wredniak napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Nie mylisz się, większość producentów uważa, że ich wsparcie dla starszych płyt już się wyczerpało. Nie podoba się? To zmień jednostkę. No właśnie, tyle że w laptopie nie da rady. Jedyne sensowne rozwiązanie to chyba przejście w starszym lapku na Linuksa z kernelem 4.16 i wirtualizowanie na nim Windowsa. Warto zauważyć, że kiedy przewertujemy stronę Intela, to zobaczymy, iż nawet dla procesorów I generacji, które mają status "Discontinued" Intel wydaje systematycznie patche microcodu pod Linuksa (tylko).
Doszedłem do wniosku, że mój kolejny laptop będzie z AMD i Radeonem. Obym tylko miał z czego wybierać w momencie zakupu.
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Liczba postów: 201
Liczba wątków: 6
Dołączył: 29.05.2014
Reputacja:
11
Intel dał ciała po całości; bulwersujące jest to, że mając wiedzę o problemie już od jakiegoś czasu dalej sprzedawali wadliwe procesory. Teraz się próbują oczyścić wydając jakieś łatki, które jednak wymagają zaangażowania także producentów płyt głównych, a Ci z kolei nie czują się winni zaistniałej sytuacji. Cóż, kasa się zgadza to po temacie. Moim zdaniem Intelowi ktoś powinien się ostro dobrać do tyłka i mam nadzieję, że tak będzie.
W przypadku laptopów - stary laptop do kosza, nowy ze sklepu. Kto by się tam przejmował ochroną środowiska, ważne aby kasa się zgadzała.
Liczba postów: 358
Liczba wątków: 13
Dołączył: 05.01.2018
Reputacja:
41
Windows też ma mechanizm update'u microcodu podczas botowania. Jest czytany z plików:
C:\Windows\system32\mcupdate_genuineintel.dll
C:\Windows\system32\mcupdate_authenticamd.dll
Przy czym pytanie czy Microsoft aktualizuje te pliki dla starszych wersji Windowsa (7, 8.1). W Windowsie 10 [Aby zobaczyć linki, zarejestruj się tutaj] Sandy Bridge zaktualizowali. Znając Microsoft pewnie nie...
Liczba postów: 293
Liczba wątków: 13
Dołączył: 08.02.2015
Reputacja:
36
(22.05.2018, 09:25)bluszcz napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Windows też ma mechanizm update'u microcodu podczas botowania. Jest czytany z plików:
C:\Windows\system32\mcupdate_genuineintel.dll
C:\Windows\system32\mcupdate_authenticamd.dll
Przy czym pytanie czy Microsoft aktualizuje te pliki dla starszych wersji Windowsa (7, 8.1). W Windowsie 10 [Aby zobaczyć linki, zarejestruj się tutaj] Sandy Bridge zaktualizowali. Znając Microsoft pewnie nie... Nie wiedziałem, że zeszli tak daleko. Mogli zejść jednak generację niżej i objęliby wszystkie od pierwszej wg nowej numeracji Intela, a tak wychodzi na to, że zatrzymali się trochę - mówiąc kolokwialnie- "wpół gwizdka"...
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Liczba postów: 904
Liczba wątków: 23
Dołączył: 08.01.2012
Reputacja:
30
Pierwszy i3 którego mam w laptopie był aktualizowany, MS mi go zaaktualizował
Liczba postów: 358
Liczba wątków: 13
Dołączył: 05.01.2018
Reputacja:
41
Jeszcze jedna prezentacja o Spectre i Meltdown - tym razem po polsku:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 904
Liczba wątków: 23
Dołączył: 08.01.2012
Reputacja:
30
Intel się oficjalnie przyznał że łatki na Spectre i Meltdown zdejmują sporo wydajności:
"Cascade Lake jest ponadto standardowo wyposażony w sprzętowe poprawki luk Spectre, Meltdown i L1TF. Według firmy, daje to przewagę względem łatek programowych w kwestii wydajności, a różnice mogą sięgać nawet 38 procent w zadaniach związanych z przechowywaniem danych."
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 2 756
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
04.04.2019, 20:45
(Ten post był ostatnio modyfikowany: 04.04.2019, 20:47 przez Quassar.)
Każdy normalny mógł to sobie w łatwy sposób sprawdzić i wiadomo to było pare dni od wypuszczenia tych łatek, a reflex Intela mnie nie dziwi bo oni zawsze tacy ułomni... jedynie dziwi mnie to że jak na taką zakłamaną korporacje wgl się przyznali ^^
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Liczba postów: 904
Liczba wątków: 23
Dołączył: 08.01.2012
Reputacja:
30
Każdy o tym wiedział Tylko Intel nigdy oficjalnie się nie przyznawał, a teraz w ramach marketingu się sami wygadali
Liczba postów: 2 756
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
Dla mnie era intela skończyła sie na prockach 3930k choć niektórzy powiedzą że 2600k ale ja wole lga 2011 z racji quad channel i 8 banków
minus taki że taka płyta kosztowała o dobre 200-300zł więcej... na lga 2066 trzeba było by kupić procka za 4k aby dostać pełną sekcje 44 linie pcie bo w procku za jedyne 2 tys nadał było leciwe 28
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
|