Ny Spectre-lignende sårbarhed fundet: Påvirker alle Intel-processorer siden 2012

Og 99,7% af alle folk på verdensplan er ligeglade... *suk*

Intel har bollet forbrugen i røven de sidste 10år og folk lovpriser stadig det lortefirma til skyerne.

Det er måske lidt hårdt. Det er selvfølgelig et tradeoff, når man designer et produkt, hvor man skal tage hensyn til modstrdende kravs specifikationer.

SukkerFri (1) skrev:

Og 99,7% af alle folk på verdensplan er ligeglade... *suk*

Intel har bollet forbrugen i røven de sidste 10år og folk lovpriser stadig det lortefirma til skyerne.

i det mindste kan AMD sparke røv på intel nu

SukkerFri (1) skrev:

Og 99,7% af alle folk på verdensplan er ligeglade... *suk*

Intel har bollet forbrugen i røven de sidste 10år og folk lovpriser stadig det lortefirma til skyerne.

Sikke dog et konstruktivt indlæg....

Du skriver som om Intel her introduceret de her sikkerhedsproblemer med vilje. Sikkerhed er utroligt svært - og det er jo heller ikke fordi AMD har kunne frisige sig fra ikke at have haft relaterede sårbarheder (selvom de fleste ganske rigtigt har ramt Intel). Det er to firmaer som har valgt to forskellige approaches til at bygge processorer, og begge har haft sikkerhedsrelaterede problemer: det ene firma mere end det andet.

Intel kunne sagtens eliminere alle de her problemer fra fabrikssiden, men samtidigt vil det betyde drastiske nedsættelser i CPU hastighed. Det er folk jo sjovt nok heller ikke interesseret i.

Det er et svært dilemma, og vi ved stadigvæk ikke hvad resultatet bliver på den lange bane, både fra AMD og Intel. Det kan være alt fra udfasning af speculative execution, til introduktionen af dedikerede sikkerheds-processorer i enten CPU eller bundkort. Måske finder de nogle andre løsninger der forhindrer de her sikkerhedsproblemer (fx en ny tilgang til cache-management). Uanset hvad, så bliver det en slagmark over de næste 10 års tid.

#4 Jeg tror mere, at der er fundet flere sårbarheder hos intel, fordi de i højre grad bruges i kritiske maskiner end amd og derfor undersøger man i højre grad sikkerheden i intel cpu'er.

Ni (5) skrev:

#4 Jeg tror mere, at der er fundet flere sårbarheder hos intel, fordi de i højre grad bruges i kritiske maskiner end amd og derfor undersøger man i højre grad sikkerheden i intel cpu'er.

Kan ikke udelukkes, men jeg finder det usandsynligt. Disse typer exploits er exploits som er nemme at konvertere mellem systemkonfigurationer. Så hvis begge CPU-mærker er sårbare, så er det ikke svært at teste dem på begge.

#3
Det gjorde de sidste år. I år har de dedikeret ydmygende Intel.

Intel i9 1200$
AMD Ryzen 7 500$
Hvor AMD's er hurtigere og har flere kerner.

Spørgsmålet er om Intel endelig er klar med deres 10nm chip...

Skak2000 (7) skrev:

Intel i9 1200$

Huh, koster i9 9900K ikke under 4000 kr?

Ronson ⅍ (8) skrev:

Skak2000 (7) skrev:

Intel i9 1200$

Huh, koster i9 9900K ikke under 4000 kr?

Det var hvad min kostede :-)

Seriøst spørgsmål. Mig bekendt handler de her spectre lignende sårbarheder alle om at kode der kører på en maskine kan snuse rundt i memory det ikke normalt har lov til at læse. Dvs. angrebskoden skal ind og køre på maskinen før den kan angribe. Er det egentlig så stort et problem for Windows desktopbrugere? Når man installerer software på en Windows har man allerede givet det adgang til at lave en masse lort på maskinen.

Der hvor der virkelig er noget på spil er servere der kører virtuelle maskiner og dockers osv. for flere kunder. Hvis den ene kunde kan tilgå memory fra andre kunder er det et kæmpe problem.

Men på en desktop? Når malware er inde på maskinen er man alligevel fucked, og har kun tvivlsom antivirus software til at redde én. Jeg ved ikke hvor meget værre spectre egentlig gør det.

.. og det er ret irriterende, for nu bliver processorerne hele tiden nedgraderet i performance pga. patches mod disse svagheder

larsp (10) skrev:

Seriøst spørgsmål. Mig bekendt handler de her spectre lignende sårbarheder alle om at kode der kører på en maskine kan snuse rundt i memory det ikke normalt har lov til at læse. Dvs. angrebskoden skal ind og køre på maskinen før den kan angribe. Er det egentlig så stort et problem for Windows desktopbrugere? Når man installerer software på en Windows har man allerede givet det adgang til at lave en masse lort på maskinen.

Spectre er et timing-angreb som kan opsnappe fortrolige data ved at udnytte den forskel i hastighed der er mellem CPU'ens cache og RAM. Den laver simpelthen et timing-script og et lille trick, og kan aflure informationen af den vej.

Dette kan gøres fra noget så simpelt som et website via fx JavaScript. Dvs. du behøves IKKE narre brugeren til at installere software eller lignende på deres computer. Du kan nøjes med at lokke dem til at besøge et website, eller alternativt kan du måske skjule scriptet i fx en reklame på et ellers helt legitimt website.

Angrebet er forklaret og illuestreret af Linus her.

Athinira (11) skrev:

Spectre er et timing-angreb som kan opsnappe fortrolige data ved at udnytte den forskel i hastighed der er mellem CPU'ens cache og RAM. Den laver simpelthen et timing-script og et lille trick, og kan aflure informationen af den vej.

Dette kan gøres fra noget så simpelt som et website via fx JavaScript.

I know ... og derfor forhindrer browsere adgang til highspeed timere eller kommer jitter på dem med vilje så man ikke kan lave timing angreb med javascript. Det bør altså kunne forhindres, javascript er et fortolket sprog.

larsp (12) skrev:

[...]derfor forhindrer browsere adgang til highspeed timere eller kommer jitter på dem med vilje [...]

Det er også en ting man gør med sikkerhedsorienteret software. Jeg ligger fx. altid lidt random tid til et request til fx. at logge ind eller nulstille kodeordet. Det gør jeg fordi databasekaldet potentielt tagerlængere tid, hvis den finder noget end, hvis den ikke gør. Så den ekstra, tilfældige tid gør timing angreb for at etablere om en email findes i systemet bliver besværlige (forhåbentlige umulige eller urentable).