Нужны, но только 8-битные, и купленные у официального продавца, а не у спекулянтов.

продам партию кр1858вм1, дорого

Прошу прощения, если уже было. Но может кто-нибудь четко сказать, доказано ли, что Spectre с последними патчами ядра еще способно читать память другого процесса?

Да. Ядро патчили только от Meltdown.

100%

В демке, что гуляет по гитхабу, читается секретная строка того же процесса. А примера атаки на другой как-то не нашел.

Можно пример?

Глупым поясните пжлст, эта штука как нибудь соотносится с lxc/openVZ? Хостерам уже вешаться или пока рано?

Эта штука не зависит от LXC/OpenVZ/KVM. Она их просто не замечает.

Наборчик для [роскомнадзор] держать под рукой. Ближайший месяц точно.

можно, разрешаю :)

пока за..воздержусь ... скользко.

Эта штука не зависит от LXC/OpenVZ/KVM. Она их просто не замечает.

«Проблема также позволяет получить доступ к чужой памяти в системах паравиртуализации (режим полной виртуализации (HVM) проблеме не подвержен»
а kvm без полной виртуализации работать не может.

И что никто ни INTEL ни AMD ни даже ARM когда разрабатывали архитектуру стока лет они все не замечали такой дырищи, как-то не очень верится, как обычно сначала забили на безопасность, потом забыли, а сейчас все пропало шеф все пропало :)

отечественные бэкдоры лучше?

"- Поверь моему опыту, сиди и молчи." ©

И что никто ни INTEL ни AMD ни даже ARM когда разрабатывали архитектуру стока лет они все не замечали такой дырищи

Одни говорят - анекдот, другие что реальная история

Meltdown и Spectre — названия двух атак на процессоры Intel/AMD/ARM64/Power (комментарий)

Не это не анекдот, это суровая правда жизни, из личного опыта говорю :)

Security hole in AMD CPUs' hidden secure processor revealed ahead of patches

UPD: В «скрытых процессорах» процессоров AMD найдена локальная уязвимость...

https://www.theregister.co.uk/2018/01/06/amd_cpu_psp_flaw/

Cfir Cohen, a security researcher from Google's cloud security team, on Wednesday disclosed a vulnerability in the fTMP of AMD's Platform Security Processor (PSP), which resides on its 64-bit x86 processors and provides administrative functions similar to the Management Engine in Intel chipsets.

Так вот почему в AMD орали: «Не надо нам никаких патчей! Наши прлцессоры не уязвимы! Инфа 100%!» %-)

P.S.: anonymous_incognito, наверное стоит добавить в шапку

Бгг злой ты.
Тут нарот по помойкам все штаны изорвал, выискивая винтаж, на ебее все губы уже настолько раскатали, а тут бах - и твой Core i7 - уже трёшка, абсолютно бесплатно, за совесть производителя процессора %-)

Всё посоны, возвращаемся к истокам и корням.
386 для десктопа на SVR4 и WinNT3, 486 для сервера на Нетвари

Можно подумать их кукарекам кто-то сильно доверял.
Вопрос времени. Т.к. в спешке говнякали свои ЦПУ, чтобы угнаться за флагманом индустрии, который, оказывается, тоже в спешке говнякал, да раскидывался мосхами , куда свое бабло пристроить...

Эх, а ещё вчера AMD отмазывался так легко...

- /* Assume for now that ALL x86 CPUs are insecure */
- setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

Зато никто в стороне не остался, никого не обидели :D

386 для десктопа на SVR4 и WinNT3, 486 для сервера на Нетвари

К чему эти калькуляторы, если сейчас уже смартфоны мощнее и умнее.

шерето!!

Ну сарказм же..

если сейчас уже смартфоны мощнее и умнее.

Так, вроде же и современные смартфоны оказались уязвимыми.

http://www.bbc.com/russian/news-42577894

Судя по треду надо точно знать где какие данные лежат чтоб нормально их получить

Узнаётся память процесса, узнаются области памяти, с которыми процесс работает, и вперёд. А как узнать - вопрос уже другой.

На самом деле волнуют. И даже были обнаружены на нвидии, в то время как на AMD снова всё отлично.

Уже было.

"Spectre still unfixed, unlike what Intel says"

UPD: Intel обосрался. Опять

https://twitter.com/TheRegister/status/949450587480891394

Intel is telling journalists it has Meltdown + Spectre all patched. @never_released and @aionescu prove it has not https://gist.github.com/woachk/2f86755260f2fee1baf71c90cd6533e9

А, в вашем мире видимо только эпол их выпускает.

Читать новости надо целиком

(...)
Google утверждает, что смартфоны на базе Android, составляющие более 80% мирового рынка, защищены от подобных атак, если у пользователей установлены все последние обновления.

P.S.: anonymous_incognito, наверное стоит добавить в шапку

Зачем? Это совершенно другой баг, к тому же подобная фигня и у Intel была не так давно найдена в ME.

В данном случае для пользователя он даже скорее полезен, чем вреден, поскольку позволяет обойти SecureBoot.

И процитированное тобой сообщение ты сам не прочитал. Это как раз патч, который отключает костыли, если процессор от AMD.

Это такая, очень обидная, шутка?
Гугл сам развёл зоопарк, теперь советует использовать телефоны от Гугла.

Именно так, и этот код останется, потому что Meltdown на AMD не работает.

Я бы не спешил с выводами. Давай недельку подождём - а там увидим ;-)

И это только начало, ведь пользоваться не значит понимать как оно работает.

spectre неспособно читать память чужого процесса. Это гипотетическая возможность прочитать, не более того.

а при чём тут ядра?

Очевидно, вот при этом:

dzidzitop> придурки эти уже начали [...] патчить ядра

А ядра писать много ума не надо. А вот написать ядро, в котором [...]- это уже потруднее.

Это ты хорошо подметил: писать - много ума не надо, а вот написать - потруднее.

пока что написать такое ядро не получилось - 12309 живее всех живых.

12309 живее всех живых

Срезал.

В смысле другой? Для эксплуатации этой дыры надо чтоб еще десяток дыр было? Или это через эту же уязвимость делается (память других процессов то читать мы можем, там никакой «карты» что где лежит не хранится?)?

Прошу прощения, если уже было. Но может кто-нибудь четко сказать, доказано ли, что Spectre с последними патчами ядра еще способно читать память другого процесса?

нет. спектре - это не уязвимость. читать может только мельдоний

Что-то я запутался...

Изначально сообщалось что к Meltdown уязвимы только 64 битные системы. Но позднее, вроде бы, и 32-битные попали в список уязвимых.

Но конкретного подтверждения этого я как-то не заметил, возможно пропустил. И обновления пока вижу только для 64 битных систем.

Может кто-нибудь внести ясность?

если у пользователей установлены все последние обновления.

Т.е. если у пользователей Nexus/Pixel или флагман?

в 32-битных системах память ядра не мапится в виртуальные адреса процесса пользователя, как я понимаю. то есть этот патч не нужен. но сам мельдоний работает.

спектре - это не уязвимость

Лжешь.

https://spectreattack.com/

«Meltdown and Spectre exploit critical vulnerabilities in modern processors»

читать может только мельдоний

Неверно.

«Spectre breaks the isolation between different applications.

...

Spectre is harder to exploit than Meltdown, but it is also harder to mitigate»

Лжешь.

ну объясни мне, в чём я не прав.

1. для эксплуатации этой уязвимости требуется найти измеримый код. он обязательно присутствует? нельзя переписать программу, чтобы избавиться от него?

2. есть и другие способы атаки на измеримый код, в треде давали уже кучу ссылок, но почему-то вокруг них не бегают с истерикой. в чем отличие в этот раз?

я тебя уже 3 дня это спрашиваю

ну объясни мне, в чём я не прав.

Тебе бесполезно что-то объяснять. Но, по мере сил, надо показывать, что ты врешь.

надо показывать, что ты врешь.

каким это образом ты показываешь? ты привел пример эксплоита, который читает данные? то что ты делаешь - истеришь.

я бы понял, если бы ты привел ссылку, например, на анализ, что _любая_ программа оставляет следы, считываемые через spectre. но ты точно этого не можешь сделать

вот ведь тварь. а ведь твоя ссылка подтверждает, что я говорю

Spectre is harder to exploit than Meltdown, but it is also harder to mitigate. However, it is possible to prevent specific known exploits based on Spectre through software patches.

вот не выдраная фраза целиком! и это то что я говорю

тоже самое было вспоре про сетевой нейтралитет, когда ты составил свою цитату аж из разных разделов