Spoiler — новая уязвимость в процессорах Intel

Spectre поддались исправлению

?

Для intel идет черная полоса. Несмотря на новые уязвимости менять свои устройства на что-нибудь другое я не намерен. Что же будет, когда возьмутся за AMD?

А бизнесы, внезапно, исходят из прогнозов, т.к. ситуация может поменяться,

Эта пять. Я тебе щас на пальцах попробую объяснить.

Вот тебе по прогнозу поставят дома нормальный унитаз. Лет через десять. Но это лишь только прогноз. А сейчас у тебя сральня типа «очко». И это ситуация. Ты будешь 10 лет ждать исполнения прогноза?

Чтобы ты понимал, бизнес не только одними прогнозами живёт. И учитывать надо как текущую ситуацию, так и возможные векторы её изменения. Но этого ты понять, похоже, не в силах.

А в данном случае, могу намекнуть: «гетерогенные системы». Что это такое можешь разобраться сам.

А я так подумал, менеджмент мог ввести такие KPI которые предрасполагали внедрять улучшения производительности в ущерб безопасности. Может за каждый новый полученный «попугай» в бенчмарках были премии, а для найденные уязвимостей никаких бенефитов кроме снижения показателей KPI. А в АМД не знали, что и так можно было.

Они теперь все такие, с 486го.. или подобных, типа IDT C6.

Значит по этой причине процессоры AMD не подвержены подобным уязвимостям?

механизм «retpoline», обновление микрокода.

Не выработано архитектурно верных решений, есть только костыли. Но костыли применяемы и решают проблему тем, кому нужно её решать.

Ща из-за Спойлера опять нафлудят 100500 страниц срача в течении полугода.

И вообще не понимаю людей, которые кипишуют и бегут срочно менять железо после каждой подобной новости.

Только выход в массы Эльбрус нас спасёт!

Короче те кто ищут дыры в железе - мудаки, и убивать их надо при рождении. Гореть им в аду

Т.е. нужно было втихую юзать, никому не говорить? Ведь помимо этих, должно быть другие теневые коллективы это вполне могли найти. Что тогда?

Даже в системах ПВО ищут уязвимости, а ты говоришь железо, мде.

Ну это вряд ли. Скорее, Intel шла на это сознательно, и потенциальые проблемы они представляли. AMD тоже в общем имеет некоторые проблемы: они используют очень похожие технологии в ряде случаев. Из-за кросс-лицензирования. К примеру, HT это разработка АМД, а не Intel.

Для intel идет черная полоса.

Я конечно скептически отношусь ко всем этим теориям заговора. Но смотря на реакцию Intel на всё это вот, складывается такое ощущение что все эти уязвимости это просто выявленные бекдоры.

HT которое HyperTransport или HyperThreading? (Эти 2 навскидку в голову пришли).

Значит по этой причине процессоры AMD не подвержены подобным уязвимостям?

Подвержены или не подвержены они не по этой причине, а в силу разницы архитектур. Существуют и общие вещи.

HyperThreading

Наивный. Как только арм войдет в обиход, там тоже обнаружат 100500 уязвимостей. Спрос рождает предложение.

Второе. Но на самом деле речь не о реализации, а о запатентованной идее. Реализации разные, а за патент Intel регулярно платит деньги.

Чем больше уязвимостей, тем больше Интел в цене просядет, не? А то у меня комп старенький, менять пора.

Чем больше уязвимостей, тем больше Интел в цене просядет, не?

Ахахах, наивный

Нет, просядет он не то, чтобы сильно. А вот по производительности сравняется с АМД.

Компания может просесть, продукция нет.

Геймерам все равно, вот облачным хостерам нет.

Уговорили, не буду комп менять.

все эти уязвимости это просто выявленные бекдоры

А я не скептически. Можно сколько угодно смеяться над теми, кто верит в теории заговора, но я не вижу в этом ничего зазорного. Картельные сговоры, наконец просто выгода или принуждение спецслужб - всё бывает и имеет место быть. В договорные матчи вы же верите? И историю если любите изучать, то подобные странные события будете находить очень часто, простой глупостью или оплошностью объяснить которые - это как раз и есть попытка натянуть сову на глобус

И учитывать надо как текущую ситуацию, так и возможные векторы её изменения.

Так прогнозы и строятся на векторах изменения. И вектор этот такой, что уязвимости могут быть везде. При этом любые изменения в накатанной колее чреваты проблемами, поэтому менять интел на амд только из-за того, что там пока ничего не нашли, - рискованно.

Вот тебе по прогнозу поставят дома нормальный унитаз.

Ага, только нет гарантии, что этот унитаз лучше. И поменять его, внезапно, далеко не так просто, и все это будет стоить нехилых бабок.

Но он появился еще в одноядерных Pentium IV (2000 год?), а чего тогда его AND в своих процессорах не применяла до ryzen?

Осспади. Пойди чаю попей, болезный. Потом перечитай, что ты тут понаписал, дня через два. У меня даже матерные слюни кончились, я про слова совсем молчу.

Потому, что они его запатентовали, а смысла в нём не видели, по всей видимости. У них была «кукуруза», на которую, как я понимаю, HT не ложился.

Потому что у AMD была только запатентованная идея.

Идея ничего не стоит, демонстрация ущербности патентной система которая позволяет патентовать swipe to unlock и иже с ними.

Исполнение инструкций, когда ещё не известно, надо ли их исполнять. Например в случае, когда условие проверить пока нельзя процессор начинает исполнять инструкции в одной из веток, которую он считает наиболее вероятной, но результат не сохраняет до тех пор, пока не определит, что ветку он угадал правильно. Все эти уязвимости основаны на том, что спекулятивное исполнение меняет состояние некоторых блоков, которое можно как-то определить и узнать что было в памяти, с которой работали эти невыполненные инструкции. Например вариации spectre основывались на том, что процессор предполагал, что проверка на попадание индекса в границы массива пройдет и поэтому читал по этому индексу указатель и даже начинал загрузку данных в кэш. Потом инструкции отменялись, но данные уже были в кэше и вредоносный код мог, измеряя время доступа, обнаружить, какая память попала в кэш и таким образом узнать, что за число было прочитано за границами массива.

а вот это кстати интересная идея. можно ли средствами ОС запретить спекулятивное исполнение для одного конкретного процесса? киллер фича была бы для разного рода сендбоксов и прочих вещей для выполнения недоверенного кода

И причём здесь управление рисками в бизнесе. Переводить лень было?

А бизнесменам тоже лень переводить было? Или они так умнее кажутся?

ты первый объяснил, как работает Spectre так, что я хоть что то приблизительно понял. не до конца, но всё таки. до этого сколько ни вчитывался в объяснения, ничего не мог понять. спекулятивное исполнение, ошибки предсказания это понятно, но как это использовать - нихрена не было понятно, какая то муть.

спасибо

Скорее всего подорожает, разве ты их не знаешь? Да и они попытаются компенсировать убытки за твой счёт в любом случае.

На как же не стоит? Смотри:

1. Intel платит. Если эти жлобы платят, то оно того стоит.

2. AMD не платит, и когда понадобилось, сделала более эффективный и без [известных] дыр SMT. Для них это тоже ценно.

патентовать swipe to unlock

Здесь немного посложнее: https://patents.google.com/patent/US5944816 Вполне себе изобретение.

митигации

перевод двоечника

есть только костыли

тот-то и оно. И на хитрую ... находят ... с болтом. Другой вопрос в тяжести реализаций, поэтому тут больше вариант защиты неуловимого джо работает.

Не дождётесь :D. С учётом всех этих дыр интел не почесался цен скидывать. Лучше в сторону АМД поглядеть.

Р Е Ш Е Т О

Е

Ш

Е

Т

О

Ну тем не менее, в случае spectre/meltdown (на meltdown АМД вроде как начхать) - варианты жизни есть. В случае Spoiler - пока нет, как нет и известных атак с использованием этой уязвимости. Поэтому будем посмотреть. На Spectre я сам лично видел эксплойты и они были применимы. Но в широком доступе они появились только после того, как появились парирующие костыли.

HT это разработка АМД, а не Intel.

Или наоборот, все зависит от того какой HT.

столько человек отписались по поводу этого слова и ни одна сволочь не предложила альтернативы

Просто с такими новостями можно смело переходить на счеты и арифмометр - в каменный век вычислений. Кто то старательно хочет похоронить все наши цифровые технологии.

Для вычислительных задач ничего не меняется, для серверов на предприятиях тоже. И даже для пользовательских в общем-то не много меняется: в игры играть можно и на процессорах с уязвимостями, а для веба на худой конец можно от javascript и прочих web ассемблеров отказаться. Некритично, в целом и без них жизнь есть.

Вот для хостеров - может это подготовка к миграции на ARM для всех и на Power для илитки.

новая уязвимость в процессорах Intel

почему они ещё не обанкротились?

Too big to fail + вложения в маркетинг.

Вобще-то я предложил: отключать спекулятивное выполнение для недоверенных проприентарных программ. Но зачем читать-то.

Потому, что может так оказаться, что вариант этой же дряни найдется и у АМД. Пока протестирована только архитектура Bulldozer - это значит, что до ZEN пока тестеры не добрались. Сейчас новость стала публичной и в ближайшие несколько месяцев найдутся люди, которые пройдут все архитектуры вдоль и поперёк в поисках подобных уязвимостей используя от же вектор атаки. Так что пока ещё не всё так однозначно. Spectre был так же у почти всех архитектур. С Meltdown интересенее, но на фоне Spectre это было не так однозначно. Дела у Интел пойдут ухудшаться только если у АМД и АРМ проблемы не найдут.

Вопрос был о переводе.

я про слово митигация в переводе

«Известных способов митигации сегодня не существует.» -> «Известных способов избежать влияния уязвимости или уменьшить вред от нее сегодня не существует».