Severe Security Advisory on AMD Processors

 ( godot | 2018. március 13., kedd - 22:56 )

amdflaws.com

Valaki hallott már ezekről:

RYZENFALL
Masterkey
Fallout
Chimera

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Komolynak tűnik,nagy gyártóknál is megjelenik a hír:

https://support.f5.com/csp/article/K02326457

Vagy massziv bullshit: https://www.youtube.com/watch?v=ZZ7H1WTqaeo

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Azt érdemes hozzátenni, hogy mindegyik sebezhetőség driver telepítési jogot vagy fizikai hozzáférést igényel a számítógéphez/firmware-hez.

Ez a CTS Labs eléggé tele van ruszki nevekkel.
A többi procihoz is csináltak már ilyen *flaws.com weboldalt?

Round 2: https://imgur.com/OkWlIxA
Vagy ennyire fosósak izraeli barátaink, vagy kamu a cég.

Round 3: https://twitter.com/GossiTheDog/status/973610507100983296
Na, jutunk már valahova :)

Round 4: https://twitter.com/ManetherenRand/status/973667143228313601

Extra: https://twitter.com/cynicalsecurity/status/973595697902706688

ilyenre gondolsz?
https://meltdownattack.com/

sok ruszki név nem meglepő, sokan léptek onnan az őshazájukba. azt konkrétan nem tudom ők is beleestek-e abba a menetbe, de ránézésre a koruk alapján akár igen.


"I'd rather be hated for who I am, than loved for who I am not."

Ez azért sokkal szofisztikáltabb oldal... pl. alig van rajta bullshit.

az lehet, nem mélyedtem egyik oldalba se bele. úgy értettem a felvetést, hogy a van-e vagy nincs. és hát van. az amd biztos kevesebbet szánt rá (vicc vót).


"I'd rather be hated for who I am, than loved for who I am not."

Jó, hát mint tudjuk, az AMD értéke $0.00, tehát erre _sincs_ pénzük :D:D

CVE?

Nem jutott meg ra ido... :)
24 ora nem sok.
---
Régóta vágyok én, az androidok mezonkincsére már!

Az egyik tweet(? vagy egy másik weboldalon olvastam?) szerint bő egy hetes a cucc már.

Viszonylag sokmindenki (trivialisan) az Intelt sejti az emlitett security "researcher" ceg mogott.
En - bar eszembe nem jutna, hogy meg akarjam vedeni oket - nem ugranek ennyire gyorsan a konkluziora.

Mivel a hibak (az USB-t leszamitva) mind az AMD PSP processzorhoz es firmware-hez kothetoek, ez fel fogja erositeni az Intel ME es altalaban minden ilyen korlatlan-privilegiumszintu, kikapcsolhatatlan, zart secure enclave-k elleni felhaborodast is.

Az Intel ME-nek is kijutott mar a hasonlo kaliberu hibakbol, ezt szerintem sokan nem felejtettek el, ugyhogy "altalanos megoldast" fognak kovetelni minden gyartotol. Ebbol az Intel sem fog jol kijonni.
---
Régóta vágyok én, az androidok mezonkincsére már!

Idézet:
Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports. Any other organizations named in this website have not confirmed the accuracy or determined the adequacy of its contents.

(Kiemeles tolem, idezet innen: https://amdflaws.com/disclaimer.html )

1., "Valaki" altal fizetett kutatas, a 'sebezhetosegek' utan, elismerten.
2., Nem volt responsible disclosure, vagyis egybol publikaltak, ergo ez volt a cel, a publicitas.
3., A "kutato" ceget 2017-ben alapitottak.
4., Az osszes "hiba" nagyjabol bullshit, mivel "szetbaszhatod a gepet, ha amugyis van admin jogod es/vagy fizikai hozzaferesed" kaliberu.
5., Egy tonna FUD-dal es "sejtetessel" korberakva.

Ahogy Linus Torvalds irta, ezek nem biztonsagi hibak, ez reszvenyarfolyam-manipulacio. A hulye IT bulvar meg raugrik es harsogja, ellenorzes nelkul.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

En csak annyit mondok, hogy az 1-es pontban az a "Valaki" nem feltetlenul az Intel, mint ahogy kb az osszes cikk alatti forumban sokan reflexbol ravagtak.

De a pontokkal termeszetesen egyetertek. Ez kb a legalja ami ebben a mufajban elkovetheto.
---
Régóta vágyok én, az androidok mezonkincsére már!

Amit a masik hozzaszolasomban linkeltem videot, abban feszegettek, hogy a "CTS-Labs-t" pont akkoriban "alapitottak" amikor az Intellel a Meltdown reszleteit megosztottak a Google kutatoi...

Nyilvan vannak veletlenek. Vagy nem. Az Intelnel amugyis most mar jelentos "tortenete" kezd lenni a reszvenymanipulacioknak a sebezhetosegek kapcsan, lasd hogy a CEO eladott egy rakas reszvenyt kozvetlenul a Meltdown/Spectre nyilvanossagra kerulese elott...

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

ez de gáz. remélem nem az intel van emögött. mindenesetre nagyon büdös a sztori, kb. a hangyát akarják elefántként eladni. ebben itt több a kommunikáció, mint a security.