mboost-dp1
Intel
Øøøø. Ja selvfølgelig har de ikke registreret noget software, der udnytter fejlen, da det som skrevet ikke kan registreres... DOH :)
Men det lyder sku da slemt.
Noget andet, så er det vel heller ikke OS afhængig, da det ligger hele nede på chippen, så alle computere der kører på den omtalte chip, kan vel rammes, om det så er Linux, Mac eller Windows... Ret mig MEGET GERNE i denne antagelse hvis jeg tager fejl.
Men det lyder sku da slemt.
Noget andet, så er det vel heller ikke OS afhængig, da det ligger hele nede på chippen, så alle computere der kører på den omtalte chip, kan vel rammes, om det så er Linux, Mac eller Windows... Ret mig MEGET GERNE i denne antagelse hvis jeg tager fejl.
Additionally, it would be virtually undetectable
Hos Intel oplyser man, at der endnu ikke er registreret noget software, der udnytter fejlen.
Hvis den vil være så svær at opdage, er der så noget at sige til at der ikke er registreret noget software, der udnytter fejlen endnu?
<edit>Ok, #2 opdagede det før mig hehe</edit>
Nu skal jeg lige have styr på noget... Er det kun bundkort fra Intel eller er det også intel chipsets lavet af andre producenter?
Åh nej!
Tuude tuude!
Hvis en fremmed kan køre programmer/drivere på min PC med administrative rettigheder, så kan jeg få et rootkit ind som er svært at fjerne!
Suk.
Ja, det kan godt være det her er ekstra svært at detecte, men det er vel for satan ingen nyhed at man kan få ondt i røven hvis man ikke passer på?
Tuude tuude!
Hvis en fremmed kan køre programmer/drivere på min PC med administrative rettigheder, så kan jeg få et rootkit ind som er svært at fjerne!
Suk.
Ja, det kan godt være det her er ekstra svært at detecte, men det er vel for satan ingen nyhed at man kan få ondt i røven hvis man ikke passer på?
#6
Nu er der jo ingen som siger det nødvendig vis er din egen fejl. Men har ført hørt om at firmaer levere software med virus på. Jeg har personlig selv haft en CD fra Intel med drivere til bundkortet hvor der var virus på. Ville du betvivle sådan en CD?? Jeg var nød til at deaktivere mit antivirus, for at installere netkort og lydkort driverne. Så hvad var der sket, hvis der havde været et rootkit på CD'en i stedet?
Og bare for at tage den en gang til... Det var en DRIVER CD FRA INTEL!! Mit bundkort fungerede ikke uden. Hvis de kan have virus på deres software, så kan alle andre sku også.
Ja det er din egen fejl hvis du installere "hellokitty rootkit" der bliver sendt fra mr. Thomson i Uganda, som du ikke kender. Men sådan er det altså ikke altid.
Nu er der jo ingen som siger det nødvendig vis er din egen fejl. Men har ført hørt om at firmaer levere software med virus på. Jeg har personlig selv haft en CD fra Intel med drivere til bundkortet hvor der var virus på. Ville du betvivle sådan en CD?? Jeg var nød til at deaktivere mit antivirus, for at installere netkort og lydkort driverne. Så hvad var der sket, hvis der havde været et rootkit på CD'en i stedet?
Og bare for at tage den en gang til... Det var en DRIVER CD FRA INTEL!! Mit bundkort fungerede ikke uden. Hvis de kan have virus på deres software, så kan alle andre sku også.
Ja det er din egen fejl hvis du installere "hellokitty rootkit" der bliver sendt fra mr. Thomson i Uganda, som du ikke kender. Men sådan er det altså ikke altid.
#9 Er du sikker på det ikke bare har været en "false positive"?
#9
Tak.
Jeg hører at du siger, at man skal være varsom med hvilke applikationer der får adgang til at køre som priviligeret bruger. Du understreger, at selv en cd fra Intel kan være en fare.
Du trækker selv fokus væk fra nyheden om at det nu kan skjules med virtualiseringsdelen i CPU'en - hvilket præcis var min pointe:
Uanset CPU, uanset kilde, uanset en hel masse; man skal passe på hvem der får lov til at køre kode med priviligerede rettigheder, for ellers kan man komme i klemme, og nu får man sværere ved at opdage det.
Derfor; quote fra før: "... det er vel for satan ingen nyhed at man kan få ondt i røven hvis man ikke passer på?"
Tak.
Jeg hører at du siger, at man skal være varsom med hvilke applikationer der får adgang til at køre som priviligeret bruger. Du understreger, at selv en cd fra Intel kan være en fare.
Du trækker selv fokus væk fra nyheden om at det nu kan skjules med virtualiseringsdelen i CPU'en - hvilket præcis var min pointe:
Uanset CPU, uanset kilde, uanset en hel masse; man skal passe på hvem der får lov til at køre kode med priviligerede rettigheder, for ellers kan man komme i klemme, og nu får man sværere ved at opdage det.
Derfor; quote fra før: "... det er vel for satan ingen nyhed at man kan få ondt i røven hvis man ikke passer på?"
#2
Der skal køre i kernel mode, hvilket normalt ikke bare sådan er ligetil og desudent forskelligt fra OS til OS så nej cross-platform bliver det nu næppe. Selvom selve rootkittet er pænt portabel er loaderen nemlig ikke.
Desuden er det meget usædvaneligt at køre Linux og lignede som root/administrator, så det ligger sig sammen med alle de andre rootkits til linux i kategorien svær at få ind i første omgang.
Der skal køre i kernel mode, hvilket normalt ikke bare sådan er ligetil og desudent forskelligt fra OS til OS så nej cross-platform bliver det nu næppe. Selvom selve rootkittet er pænt portabel er loaderen nemlig ikke.
Desuden er det meget usædvaneligt at køre Linux og lignede som root/administrator, så det ligger sig sammen med alle de andre rootkits til linux i kategorien svær at få ind i første omgang.
#7
"Eller tag et dansk kursus."
Du mener vel et danskkursus? /golfclap
#topic
Selvom man kan gemme noget i cachen, skal det jo kommet et sted fra. Man må have hentet noget kode ind på ens maskine og have eksekveret det. Cachen flushes jo ved reboot, så hvis man vil have rootkitet kørende bestandigt, så skal der gemmes en kilde på maskinens disk. Man kan altså fange kittet begge steder, før det startes. Så det er vel ikke det store problem, og Intel finder sikkert hurtigt en løsning på det.
"Eller tag et dansk kursus."
Du mener vel et danskkursus? /golfclap
#topic
Selvom man kan gemme noget i cachen, skal det jo kommet et sted fra. Man må have hentet noget kode ind på ens maskine og have eksekveret det. Cachen flushes jo ved reboot, så hvis man vil have rootkitet kørende bestandigt, så skal der gemmes en kilde på maskinens disk. Man kan altså fange kittet begge steder, før det startes. Så det er vel ikke det store problem, og Intel finder sikkert hurtigt en løsning på det.
fennec (9) skrev:#6
Nu er der jo ingen som siger det nødvendig vis er din egen fejl. Men har ført hørt om at firmaer levere software med virus på. Jeg har personlig selv haft en CD fra Intel med drivere til bundkortet hvor der var virus på. Ville du betvivle sådan en CD?? Jeg var nød til at deaktivere mit antivirus, for at installere netkort og lydkort driverne. Så hvad var der sket, hvis der havde været et rootkit på CD'en i stedet?
Og bare for at tage den en gang til... Det var en DRIVER CD FRA INTEL!! Mit bundkort fungerede ikke uden. Hvis de kan have virus på deres software, så kan alle andre sku også.
Ja det er din egen fejl hvis du installere "hellokitty rootkit" der bliver sendt fra mr. Thomson i Uganda, som du ikke kender. Men sådan er det altså ikke altid.
Jeg elsker sådanne dumme mennesker som dig - du aner klart ikke en brik om emnet; hvorfor blander du dig?
Tror du virkelig dit virus program sidder med en liste over alle fucking mulige viruser der er blevet opdaget og sammenligner andre filer med den liste? Hvis det ikke var fuldstændig brugsløst, så var det i bedste fald noget fucking lort, da en virus ville kun være nødt til at ændre en enkel byte i sin fil for at fucke alting up for virus programmet.
Dit virus program sidder og bruger en form for AI - Det vurderer, ud fra bestemte signatur bytes, om et program kan være en virus. Bestemte kald til funktioner i en bestemt rækkefølge kan få AV'en til at tro at et program er en virus.
Jeg har lavet et program der indsprøjter DLL filer ind i en process, der kan tage fuld kontrol over det hvis man bruger det rigtigt. Nu sidder programmet på min harddisk, og indeholder bestemte bytes i en bestemt rækkefølge, og derfor opdagede mit AV det som en virus. Det er det ikke. Det kan være.
Vær nu ikke så utåleligt ignorant og lad være med at udtrykke dig hvis du kun har tænkt dig at trække en helvedes masse lort ud af din endetarm.
Der var en eller anden smart fyr der sagde: "It is better to remain silent and be thought a fool, than to open your mouth and remove all doubt." - Oversat: Hvis du ikke snakker, så risikerer du ikke at sige noget dumt.
-N- (4) skrev:Ny er jeg selv intel mand, men hvorfor høre man aldrig om amd lave den slags kæmpe brølerer? - Det er jo ikke første gang melder sig på banen.
/ACDC-mode
/Sing TLB...bug...hey hey....TLB bug...hey hey....
AMD's trackrecord er ikke noget du ønsker at hive frem...husk den famøse AMD-dualcore fix til gaming?
Den her er "kær"...bare se på kravene:
"Du skal selv logge ind på din PC og derefter overlade den til hackern, så skal du se, så skal du nok blive inficeret"
TLB eller dual-core buggen ramt bredt
@17 Flot terra kan den måske bruges til at lagre en exploit?
Det er en bug som ala Intels FDIV og f00f.
Det er en bug som ala Intels FDIV og f00f.
#16
Hvad fanden får dig til at tro jeg ikke ved hvad jeg snakker om?? Jeg beskriver bare konkret hvad jeg har oplevet, og jeg ved sku godt hvordan et antivirus program fungere. Har også været nød til at fjerne tjek på asp filer da mit antivirus ellers fanger flere af mine hjemmeside filer.
Men du tænker straks det værst om folk, og i stedet for at holde tonen bare lidt sober, går du straks igang med at kalde mig både dum og utåleligt ignorant. Ved du hvad der er værre end dumme mennesker? Det er bedrevidende idioter som dig, for dumme mennesker ved ikke bedre.
Hovsa. Hvad var det for et link jeg fandt her??
http://www.theregister.co.uk/2001/01/24/hp_distrib...
Det var sku en artikkel om at HP har leveret en driver CD med virus på. Nu jeg ikke kunne finde en artikkel angående den Intel CD jeg havde (som jeg ved findes, for jeg brugte den da jeg skulle installere mine driver), må du nøjes med den.
#11
Helt enig i at man skal være forsigtig med hvilke app man lade køre som admin, men når det nu er en driver installation, er det lidt svært at undgå :(
Hvad fanden får dig til at tro jeg ikke ved hvad jeg snakker om?? Jeg beskriver bare konkret hvad jeg har oplevet, og jeg ved sku godt hvordan et antivirus program fungere. Har også været nød til at fjerne tjek på asp filer da mit antivirus ellers fanger flere af mine hjemmeside filer.
Men du tænker straks det værst om folk, og i stedet for at holde tonen bare lidt sober, går du straks igang med at kalde mig både dum og utåleligt ignorant. Ved du hvad der er værre end dumme mennesker? Det er bedrevidende idioter som dig, for dumme mennesker ved ikke bedre.
Hovsa. Hvad var det for et link jeg fandt her??
http://www.theregister.co.uk/2001/01/24/hp_distrib...
Det var sku en artikkel om at HP har leveret en driver CD med virus på. Nu jeg ikke kunne finde en artikkel angående den Intel CD jeg havde (som jeg ved findes, for jeg brugte den da jeg skulle installere mine driver), må du nøjes med den.
#11
Helt enig i at man skal være forsigtig med hvilke app man lade køre som admin, men når det nu er en driver installation, er det lidt svært at undgå :(
Cache poisoning på tværs af CPU-modes er rimelig uheldigt må man sige, men fejlen havde været meget større, helt katastrofal, hvis man fra user mode kunne poisone supervisor mode. Det kan man heldigvis ikke da skrivning til de nødvendige adresser vil udløse en exception.
Men skrivning fra supervisor mode til SMRAM bliver åbenbart bare ignoreret... ikke så godt. Men så igen, det her er ret teoretisk. For ikke at blive opdaget ville man også forvente at et evt. root kit skal overleve reboot, og det kræver (med mindre man kan flashe BIOS) at man har skrevet sig selv ned på disken. Når det ligger på disken kan det opdages; måske ikke når rootkittet kører og kan ændre ting læst fra disken, men så når man booter fra en CD. Da man desuden skal være admin allerede (på linux) og faktisk supervisor (på windows) før dette exploit kan initieres, synes jeg ikke det lyder som et problem der er større end root kits generelt.
Men skrivning fra supervisor mode til SMRAM bliver åbenbart bare ignoreret... ikke så godt. Men så igen, det her er ret teoretisk. For ikke at blive opdaget ville man også forvente at et evt. root kit skal overleve reboot, og det kræver (med mindre man kan flashe BIOS) at man har skrevet sig selv ned på disken. Når det ligger på disken kan det opdages; måske ikke når rootkittet kører og kan ændre ting læst fra disken, men så når man booter fra en CD. Da man desuden skal være admin allerede (på linux) og faktisk supervisor (på windows) før dette exploit kan initieres, synes jeg ikke det lyder som et problem der er større end root kits generelt.
Nextnx (18) skrev:@17 Flot terra kan den måske bruges til at lagre en exploit?
Det er en bug som ala Intels FDIV og f00f.
Har du læst hvad der skal til før du kan noget som helst...nyhederne på nez er belvet pisse ringe for tiden, alt for meget Se&Hør over det bras der bliver lukket ud...og alt for mange n00b's der æder alt råt uden at slå de små grå til...
TLB og dual-core fix ramte meget bredre end det her vil...og krævede ikke man var admin på PC'en *rolling eyes*
Touché?, men så kan du jo bare blive på EB nationen, da du ikke virker meget mere objektiv eller konstruktiv end dem.terracide (17) skrev:Nyhederne på nez er belvet pisse ringe for tiden, alt for meget Se&Hør over det bras der bliver lukket ud...og alt for mange n00b's der æder alt råt uden at slå de små grå til...
Du fremhævede selv denne som om Intel er klassens duks og sammenligner A med B.terracide (17) skrev:AMD's trackrecord er ikke noget du ønsker at hive frem
terracide (17) skrev:TLB og dual-core fix ramte meget bredre end det her vil...og krævede ikke man var admin på PC'en
Du er her ud over den første og eneste der er kommet med hentydning til hvor bredt det skulle ramme og så er det endda udformet som angreb mod tja.. et intet indlæg der endnu ikke har fundet sted..
Men nu når vi snakker om TLB (som er præsis det Intel også har haft, kaldet "f00f") så kan den bug i værestefald kun "hænge" cpu'en pga. skriving til en memory block kunne udløse et deadlock under bestemte scenarioer.
Dual-Core problematikken eller TSC Dual-Core Issue om du vil, berør kun Time Stamp Counter (TSC) pga. det drift der kunne forekomme hvilket kunne påvirke afviklings hastigheder positivt eller negativt.
Hvor du får blandet en "admin på pc'en" ind henne forbliver måske en gåde?
Hvis jeg da ikke bliver forgyldt og kommer på din ignore liste
He he he... Den her diskussion er jo kørt HELT af sporet! Jeg vil følge IceDanes råd om ikke at udtale mig når jeg ikke ved nok om det, men der er satme mange kloge hoveder her - jeg lærer en masse! :D
@24
Ja, vi kan alle spille lemmings mens vi venter på Dr. Know-It-All kommer forbi N.. undskyld.. newz.dk.
Da diskussion ikke handler om at diskutere (eller dele meninger og synspunkter) men at Dr. Know-It-All lige kommer med en kommentar til #0 da vi så ikke behøver at snakke mere om den sag :D
Eller har jeg misforstået dig?
Jeg kan også spørge "hvornår ved man at man ved nok om det?"
Eller hvis du ved at det er kørt af sporet må du jo vide hvor sporet knak? I så fald, Please enlighten me, da jeg gerne vil høre hvad du har at sige, da det kunne være du havde et konstruktiv synspunkt.
Ja, vi kan alle spille lemmings mens vi venter på Dr. Know-It-All kommer forbi N.. undskyld.. newz.dk.
Da diskussion ikke handler om at diskutere (eller dele meninger og synspunkter) men at Dr. Know-It-All lige kommer med en kommentar til #0 da vi så ikke behøver at snakke mere om den sag :D
Eller har jeg misforstået dig?
Jeg kan også spørge "hvornår ved man at man ved nok om det?"
Eller hvis du ved at det er kørt af sporet må du jo vide hvor sporet knak? I så fald, Please enlighten me, da jeg gerne vil høre hvad du har at sige, da det kunne være du havde et konstruktiv synspunkt.
#25: Nah - det var nu mere mht. til tilsviningerne jeg mente det var kørt af sporet - hold det nu konstruktivt venner! ;P Men mere info kan altid bruges! :)
Nextnx (23) skrev:Hvor du får blandet en "admin på pc'en" ind henne forbliver måske en gåde?
Hvis jeg da ikke bliver forgyldt og kommer på din ignore liste
fordi jeg har læst artikel og ikke bare hiver ord ud af min bare røv:
"Who can do this? "We assume that the attacker has (what is in practice)...]equivalent to administrator privileges on the target system, and on some systems, e.g. Windows, also the ability to load and execute arbitrary kernel code," write Rutkowska and Wojtczuk."
Hvis du så tog hovedet ud af anus ville du også opdage at:
" But...I don't see a mass virus or worm using this. The attacks will be targeted. A rootkit must be perfectly matched to the hardware."
Mere n00b'ness du har lyst til at dele?
Så kan vi jo også kigge på dette:
"March 23, 2009 4:00 AM PDT
And what systems are potentially vulnerable? Though both Intel and Rutkowska say the "attack" presented in the paper has been fixed on some systems, Rutkowska goes on to say: "We have however found out that even the relatively new boards, e.g. Intel DQ35 are still vulnerable (the very recent Intel DQ45 doesn't seem to be vulnerable though). The exploit attached is for DQ35 board--the offsets would have to be changed to work on other boards"
Uha....det er jo...*host*omfangsrigt*host*
Og skal vi ikke lige kigge på et af andre eksempler du hev frem?
"Then there's the whopper of them all--and a flaw very different in nature from the SMM vulnerability discussed above--the show-stopping 1994 Intel FDIV bug, discovered by Professor Thomas Nicely, then at Lynchburg College in Virginia. Also referred to as the floating-point bug, it wasn't a flaw exploitable by malicious hackers; rather, it was a bug in Intel's original Pentium floating-point unit. Certain arcane floating-point division operations done on these processors would generate incorrect results.
This bug, covered prominently by The New York Times and CNN at the time, actually had virtually no affect on users, except causing them to panic and, as a consequence, some insisted that Intel provide them with new processors. The recall cost Intel close to a half-billion dollars"
Lang større fejl...der ikke førte til noget...tabt sølvpapirshatten?
Denne er også meget griner:
" A report from U.K.-based technology Web site The Register in 2006, for example, suggested that people should not purchase Core 2 Duo systems--now widespread worldwide--because of security vulnerabilities and cited an open-source expert, who prophesied doom and gloom for the Core 2 Duo architecture. "
Skal vi vædde med at dette ikke ender med at blive andet end ren FUD?
Terra - RTFA FTW!!!
Terra du ser ikke langt ud fra boksen. Du sammenligner stadig en intern bug der ikke kan bruges i exploit med en bug der kan bruges til exploit. Det jeg mente med "admin på pc'en" som du ikke lige fangede er hvilken mening det er at blande det ind i noget du ikke kan gøre ved da det er noget der ikke kan exploites. At du kan gøre det med Intels er jo kun en requirement for exploiten.
Nextnx - Man skal passe på at man ikke spiser mug pletten på den anden side når man nu ikke kan se kagen fra begge sider.
Nextnx - Man skal passe på at man ikke spiser mug pletten på den anden side når man nu ikke kan se kagen fra begge sider.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund