Meltdown, Spectre zranitelnosti

[LordKJ]

V skratke:

https://security.googleblog.com/2018/01 ... d.html?m=1
https://meltdownattack.com/ https://spectreattack.com/

Meltdown - velky problem - len intel, fix stoji 5-30% vykonu

Spectre - vsetci - intel, amd, arm, fix nie je ale ovela tazsie vykonat exploit. Ale proof-of-concept bezi v javascripte .
//edit spectre je cela trieda zranitelnosti.. viz. aj nazov:

Why is it called Spectre?
The name is based on the root cause, speculative execution. As it is not easy to fix, it will haunt us for quite some time.

Linux kernel inplementoval page table splitting, microsoft taktiez.

Vsetky velke cloudy maju momentalne restarty (amazon, ibm taktiez rozosielal emaily).

Nejake komentare:
https://twitter.com/nicoleperlroth/stat ... 6249962496
https://news.ycombinator.com/item?id=16065845

Wiki:
https://en.wikipedia.org/wiki/Meltdown_ ... erability)
https://en.wikipedia.org/wiki/Spectre_( ... erability)

[mino_85]

Tak 2018 sa začal veselo.

[shiro]

Ako na novy rok, tak po cely rok....nestraste

[Eddward]

Pre bezne domace pouzivanie to nevyzera nijak dramaticky.
Computerbase.de meral impact s Insider buildom 17063 kde uz bol aplikovany v porovnani s aktualnym stabilnym buildom 16299.
https://www.computerbase.de/2018-01/int ... itsluecke/
Rozdiel je 0-1%, pripadne dokonca aj lepsie vysledky. Navyse treba brat do uvahy aj fakt ze Insider build je prespikovany telemetriou, co ma viac negativny ako pozitivny dopad na vykon.
Najväcsi realny impact vidno pri NVMe diskoch /do 7%/ v niektorych testoch.
Vcera vecer/dnes vysiel uz aj kumulativny update pre vsetky verzie Win 10, takze dalsie testy budu zrejme coskoro.

[LordKJ]

Tak ano na doma to nie je nijak dramaticke. Iba ak niekto objavi 0day pre Spectre a pokradnu milion veci kedze fix zatial nie je.

[Zoltan Balaton]

na tie dalsie testy som zvedavy..a snad ten clanok na comupterbase je pravdivy

[kllr007]

No len nie každý má doma i7.
U i5 poprípade i3 (2/4) a Pentium bude podľa mňa výkon horší.
A čo také celerony v notebookoch / netbookoch a pod ?

Takže na reálne dopady si treba fakt počkať.

[Eddward]

prve realne testy
https://www.youtube.com/watch?v=_qZksorJAuY

[mp3turbo]

AMD / VMware o tejto veci vedeli od leta... SEPTEMBROVE patche na vmware 5.5 uz fixovali ; v novembri esx6.0 ; v decembri esx6.5

domace pouzitie ta nesere, toto je o multi-user superzatazenom virtualizovanom prostredi - sam sebe si hesla kradnut nemusis spod ruky

najvacsi dopad bude v prostrediach kde je supermegastrasnevela user/kernel switchov == virtualizacie, hocico co sialene zatazuje suborovy system (databazy atd, ale preboha nie take co robia 200 IOPS, ale take co su statisice operacii za sekundu a take doma nemas)... Tam kde sa vela rozlicnych firiem, subjektov stretava na jednom fyzickom serveri.

pokles vykonu doma nebudes mat prakticky ziadny viditelny.

Inak neuverite tomu, ale uplnou NAHODOU predal intelacky CEO vsetky akcie ktore mohol predat - podla zmluvy si musi nechat myslim 250.000 kusov, tie si aj nechal do bodky a ani jednu jedinu navyse.

Holt, oplati sa byt insiderom a vediet co bude pozajtra v novinach...

[Filipsss]

https://twitter.com/bryanlunduke/status ... 7266042880

[LordKJ]

no neviem
https://www.vmware.com/us/security/advi ... -0002.html

[Eddward]

domace pouzitie ta nesere, toto je o multi-user superzatazenom virtualizovanom prostredi - sam sebe si hesla kradnut nemusis spod ruky

myslim ze to neni za tak jendoduche ze sam sebe si hesla kradnut nemusis,
anyway, nebavime sa teraz o chybe ako takej, ale o dopade patchu na vykon,

o tom ze BK predal akcie 2 dni pred Silvestrom sa myslim celkom vie, v mediach sa to pisalo... uz som ale aj cital ze suvislost s touto kazou Intel dementoval (ako inak)

[wingo]

O tom Inteláckom CEO písali kade-tade, ale vraj to isté spravil aj pred rokom, všetky akcie čo teraz predal tak nakúpil tesne predtým ako zamestnanecké lacnejšie než bola trhová hodnota. Berte to ako neoverené info z netu

A čo sa týka zneužitia, nemusím sám sebe kradnúť heslo, stačí keď mi ho kradne malware...

[LordKJ]

no ved to, proof of concept beziaci v chrome nie je ziadna sranda

[mp3turbo]

Lorde, ved ano - linkoval si spravny VMware security bulletin. Pozri tu tabulku v nom "Replace with/ Apply Patch"... ja som kukal vcera aj dneskaj nejake systemy 6.0 aj 6.5 a ziadny z nich nenasiel nove veci kedze uz boli patchovane pred Vianocami (esx6.5 patch 201712).

V tom bulletine vydanom 2018/01/03 sa pise ze pre esx6.0 treba nainstalovat patch 201711 ked som to narychlo dobre skukol.

uvidime co este bude, tak ako obycajne sedime vo vlaciku a vezieme sa.