"4 újabb hibát találtak az Intel processzoraiban, amiken keresztül belenyúlhatnak a gépébe"

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sracok, ez tegnap elotti hir, sot mar regota tudni hogy lesz bejelentes.

Gondolom itt a lényeg, hogy ezt itt most a mindenhez _is_ értő hvg írta meg. Mert egyébként közelebbi forrást a hírre keresve sem lehetett volna találni.

https://zombieloadattack.com/

--
trey @ gépház

vagy együtt: https://cpu.fail/

Ezt ugye most te sem gondoltad komolyan?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nyilván itt erre a kijelentésedről van szó: "itt a lényeg, hogy ezt itt most a mindenhez _is_ értő hvg írta meg. "

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Mert úgy érted, hogy a legközelebbi link helyett egy "Heti Világgazdaság" nevű oldalról kell tájékozódni? Főleg egy CPU sebezhetőségről? Nem az érintett gyártó errataja, vagy a felfedezésők tájékoztató oldaláról? Legközelebb mi lesz? A Kiskegyed?

--
trey @ gépház

Én nem értem sehogy, kétségtelenül a hvg nem egy trendy-fancy twitter huszár IT-magazin, de azért egy hírt csak meg tudnak jelentetni ők is - és hát a a hír az hír, még a kiskegyedben is.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hat, nem ugy tunik. Sehol egy tisztesseges forras, csak Engadget...

Segitek, mert látom, hogy gondot okozott:
"...A Microarchitectural Data Sampling (MDS) gyűjtőnéven emlegetett hibák – amelyekről a CPU.fail oldalon lehet részletesen olvasni – működésére egy példát is lehet látni."
link, ha esetleg most sem nem találod: https://cpu.fail/

Szívesen! :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Gondoltal ma mar?

Helyetted nem tudok sajnos. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Kell meg egy kis ido vagy sikerul osszerakni egy gondolatta azt a par mondatot, amelyek ebben a szalban szulettek? Mar talan megvolt annyi, mint a HVG-nek egy rendes cikk megirasahoz.

A cikk maga gyasz, kusza iromany mindenfele hibakrol.
Hirerteke egy atlag ITs szamara kb. a nullaval egyenlo. Meg a nagy, publikus bejelenteshez kepest is erosen le volt maradva. Az igazan fontos hircsatornakat, amelyek lehetove teszik a hibak kijavitasat, mielott az ITs nagykozonseg tudomast szerezne rola, nyilvan nem kerhetjuk szamon egyik hirportalon sem.

Persze mondhatnank, hogy a HVG nem IT hirujsag, hanem elsosorban gazdasagi es politikai temakkal foglalkozik. Ez esetben a cikk legfeljebb a "kis szines" kategoriaba tartozna naluk. Sehol egy rendes tanulmany, de meg egy felperces eszmefuttatas sincs a lehetseges gazdasagi kovetkezmenyekrol. Meg az is teljesen jo lenne, ha a kozelmult sulyos hibaibol szarmazo gazdasagi problemakrol irna, es megprobalna befuzni a zombieload problema melle.

"A hvg-t pedig legalább újságírók írják."

Sj ajánlotta ezt a cikket annak idején itt a HUP-on. Azt hiszem, ez nagy újságírói teljesítmény:

https://hvg.hu/elet/20181226_Kihivta_egy_kilenceves_fiu_a_rendorseget_nem_tetszettek_neki_az_ajandekok

--
trey @ gépház

Ott van alatta, ez egy mti-s hír, december 26 este jelent meg (nálad mi jelent meg ekkor? Java mikulás kint volt már? :)). Mondjuk ők azért megérik a pénzt, de őket erdekes módon nem aposztrofálod "mindenhez IS értő" mti-nek. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Te magad mondtad ki a kulcsmondatot: " a HVG nem IT hirujsag, hanem elsosorban gazdasagi es politikai temakkal foglalkozik" - ettől még ha más témájú hírt közöl, az még ugyanúgy hír, ha neked részletesebb tartalom kell, akkor lehetőséged van utánajárni. Ha ezt a hírt a munkatársad közli veled egy kávé közben, akkor se pattintod le, hogy "ez nem hír", vagy " ez nekem nem elég tartalmas, így nem fogadom el" (a twitteres hírt se kezeled így erdekes módon). A hvg nyilván utánközöl, nem folyik tényfeltáró újságírás egy ilyen sokadlagos, a perifériát erintő hír esetében, ezt kár lenne számonkérni a hvg újságíróin (legyél te It-s újságíró, járj utána, derítsd ki, foglalkozz vele, ha már ennyire jobban tudod ezt náluk)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Bocsánat, hogy próbáltam szakmai minimumra törekedni.

--
trey @ gépház

"ezt itt most a mindenhez _is_ értő hvg írta meg. "
Á értem. Ez itt a szakmai minimum.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Te most komolyan azt akarod itt beadagolni, hogy te onnan tájékozódsz ilyen témákban?

--
trey @ gépház

Nem az a lényeg, hogy én honnan tájékozódom (bárhonnan egyébként, az információ nem helyhez kötött - egyébként hamár: a twitter mennyivel hitelesebb?), hanem hogy adott egy tematikus hír, ami megjelent valahol (nem itt), erre az első két reakció az, hogy "ez már négy napos", és "a forrás még ehhez IS ért". Most tényleg ez itt probléma? Csak mert akkor fölösleges a cikkturkáló.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A Twittertől is az esetek 90%-ban a forrás elsődleges Debian projekt hivatalos Twitter oldala, FreeBSD hivatalos Twitter oldala stb. A HUP alapvető szabálya kezdetektől fogva, hogy a történéséhez a lehető legközelebbi forrást választjuk. Kivéve, ha éppen (még) nincs más. De elengedem, mert nem akarod érteni.

--
trey @ gépház

Persze, meg ott van pl Trump is és a hozzá hasonlók, ami hozzá tartozik a hitelességi mutatóhoz. Na ugyanilyen alapon bármitre rámondható, hogy az hiteles forrás, még a bibliára is. A twitter az igazán "mindenhez IS értők" kontrollálatlan gyűjteménye. A hvg-t pedig legalább újságírók írják.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Semmi köze ennek ahhoz, hogy ki van rajta. Ha egy projekt hivatalos Twitter csatornájára hivatkozol, az hivatalos kommunikáció. Pont.

--
trey @ gépház

Ja, hogy bárki bármit mondhat, akkor az rendben van. Ha az amerikai elnök azt twitteli hogy nincs klimavaltozas, akkor az nincs, mert ez a hivatalos kommunikacio. Pont. ;)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ebben annyiból nincs igazad, hogy bár a hvg tényleg nem való kizárólagos szakmai tájékozódásra, de arra jó, hogy az ember figyelmét felhívja, hogy el lehessen valahol kezdeni az informálódást. Nyilván értelmes ember egy nem szakmai oldal után nem áll meg, hanem olvas tovább a témában hitelesebb oldalakon. Ilyen cikkturkáló szintjén, vitaindítónak teljesen megfelelő egy ilyen hvg-s cikk.


No keyboard detected... Press F1 to run the SETUP

Természetesen ide jó (és ide való, itt is marad). Arra próbáltam rámutatni, hogy a főoldalra is kerülhetett volna, de ezt így nem emelem ki. Volt már olyan cikk, ami a cikkturkálóban kezdte életét, de a végén a főoldalra is kikerült.

--
trey @ gépház

Es megelozte a hup-ot is!!!

Ja, akkor ma már nem aktuális, bocs. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ami számomra lefordítva annyit jelent, hogy az Intel mérnökei igazából nem is szeretnék "kijavítani" a direkt adatszívásra fejlesztett sokféle featurát. (Mivel talán éppen e célra dolgoztak rajta igen sokat...) - A hétről-hétre újabb inteles "felbukkanások" számomra legalább azt valószínűsítik, hogy az AMD mérnökei alapból jóban vannak a biztonsági szakemberekkel, és talán nem annyira jóban a proc.sebezhetőségekkel. - Tehát ha mostanában gépcsere lenne, csak Ryzen-ben gondolkodnék.

Nekem meg az jutott eszembe hogy ezek üzletileg jók lehetnek az Intelnek. Ha lassul a processzor másikat, újat, többet fognak venni belőle azok akiknek kell az a valamikori teljesítmény szint. Ezen kívül az Intel maga is ajánlgatja, hogy ha nem akarsz sérülékeny lenni akkor vegyél újabb processzort.
Jó buli ez a biztonsági hiba történet. Elképzeltem milyen lenne az IT világ biztonsági hibák nélkül. Jelentős része elveszítené az állását, sok cég bezárhatna. Az Intel meg kevesebb processzort adna el.

Biztosan van általad mondott üzleti következmény is. - Azonban, a gépeken lévő adatokhoz való hozzáférés lehetőségét egyszerűen elsődleges prioritással muszáj lefejleszteni. Ez bizonyos, világot globálisan uralni kívánó hatalmi körök számára megkerülhetetlen. E téren még az "üzletelenség" sem probléma. - (Lásd az ingyenesnek nevezett szolgáltatásokat. Ha senki nem fizet érte, akkor is lesz Google, Android, + minden más személyes vagy ipari adatlopásra alkalmas "ingyenes" megoldás. A képzőművészet egy részét leszámítva, - más területeken, - csak "ritkán szoktak" azért dolgozni, hogy senki ne fizessen érte.)

"Elképzeltem milyen lenne az IT világ biztonsági hibák nélkül.."

Hidd el a felhasználók számára az IT világ "hibák nélküli". Legtöbben úgy használnak évekre szólóan IT eszközöket, mintha egyáltalán nem is létezne ilyesmi. (Lsd. a gyártók hozzáállását a frissítésekhez, még azok is, akik megtehetnék, hogy dolgoznának ellene...) - Én is sok Intel procit használok, de csak akkor lesznek kidobva, ha a gépek végelgyengülésben kihalnak. Azaz az üzleti magatartásomra, - az Intel nyeresége szempontjából, - a feltárt hibák egyáltalán nincsenek hatással, - és sokan vagyunk így.)

Igen, tudom hogy kb. ez van amikről írtál. Csak próbáltam arra rávilágítani, hogy lehetnek, sőt biztos hogy vannak világunkban olyan dolgok, amik valakiknek nem akkor hoznak többet ha jól működnek, hanem akkor ha rosszul. Úgy gondolom ezt itthon már rég feltalálták bizonyos (nem IT-s) körökben.

Csak ez, amit írsz, visszafelé is el tud sülni, a lassú proci miatt új gépet vásárlók beruháznak egy Ryzen-be, ami olcsóbb, több mag/szálat ad adott esetben ugyanazért a pénzért, nem sebezhető, és upgrade-elni is könnyebb, mert nem kell hozzá minden generációnál új lapot venni alá.

Biztonsági hiba meg mindig lenne az IT-ben, ha ki is zárod a hardveres sebezhetőségeket, a szoftvereset nem tudod, már csak amiatt sem, mert az első számú sebezhetőséget mindig a felhasználók maguk rejtik.

Ez a hír inkább akkor lett volna pozitív az Intelnek, ha a hibát is kijavították volna új mikrokóddal, akkor megmutatták volna, hogy a hackerek előtt járnak. De sajnos nem javítják.


No keyboard detected... Press F1 to run the SETUP

https://support.apple.com/en-gb/HT210108 - How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities

"Testing conducted by Apple in May 2019 showed as much as a 40 percent reduction in performance with tests that include multithreaded workloads and public benchmarks. Performance tests are conducted using specific Mac computers. Actual results will vary based on model, configuration, usage, and other factors."

--
trey @ gépház

Azt lehet tudni, hogy az AMD procik valoban kevesbe serulekenyek, vagy egyszeruen csak nem tudni roluk mert senki nem assa magat bele tesztekbe az elhanyagolhato szerver piaci reszesedesuk miatt?

Szerinted az Intel nem ásná bele magát? A Ryzennel nagyon jön fel az AMD, igen sok félig-meddig pánikszerű lépésre is késztetve az Intelt. Van egy ilyen is: https://prohardver.hu/hir/amd_hivatalos_reagal_mds_sebezhetoseg.html

Lásd:

(Csak zárójelben jegyzem meg, hogy A Ryzen tervező csapatnak ugyanaz volt a vezető mérnöke, aki az AMD64-et anno bedobta és a Netburst-os intel Xeonokat az akkori Opteronok porba alázták. Most már az Intelnél dolgozik emberünk... Közben volt egy kiterője az Apple-nél az Arm-os procijukat is komolyan megalapozta.)

Biztos, hogy ez létező probléma.

Az Intel utoljára kb 10 éve csinált alapjaiban új architektúrát (Nehalem ~2009), azóta csak kisebb-nagyobb inkrementális ráfejlesztéseket csinált (az utolsót - Skylake - is már kb 3 éve). Vagyis az akadémiai szférában a kutatóknak elég sok idejük volt visszafejteni és dokumentálni az Intel processzorok alacsonyszintű működési részleteit - olyan trükkös corner-case-ekere kiterjedően, ami messze meghaladja az Intel kiadott dokumentációját. Elég sok tapasztalat jött össze ennyi idő alatt - ez többek között a fordítóprogramok optimalizálási képességeiben is hasznosult.
Ráadásul az elmúlt 10 év során az Intel eléggé egyeduralkodó volt a piacon, nem igazán volt motiváció kifejezetten az AMD processzoraira fókuszálni.

Ezzel szemben az AMD kb 2,5 éve csinált teljes redesign-t (Zen ~2016 vége) és úgy 1-1,5 éve kezd piacilag relevánssá válni. Gyakorlatilag alig van mélyebb tapasztalat vele, a kutatók kb a hivatalos dokumentációból tudnak dolgozni, illetve feltételezni, hogy bizonyos részek az Inteléhez kellően hasonlóan vannak megoldva.

A mostanság publikált sebezhetőségek többségét ezért nem véletlenül Intel-en "találják meg" - mert elsődlegesen ott keresik. A többi processzorra inkább csak rápróbálják, illetve megpróbálják a publikált mikroarchitekturális ismeretek alapján adaptálni, ami néha sikerül (Meltdown ARM és IBM Power-re is működött, a Spectre V2 is elég univerzális), néha viszont nem.

Ez sajnos keveset mond arról, hogy az AMD valójában biztonságosabb-e. Annyi valós előnyük lehet, hogy sokkal fiatalabb architektúráról van szó, ezért a tervezésnél már szempont lehetett a védekezés több olyan támadási mód ellen, amiket a 2009-2016 közötti időszakban publikáltak. Az ilyen időzítésre alapuló side-channel támadásoknak azért volt már bőven előzményük a Meltdown/Spectre előtt is. De ettől még simán lehet, hogy mélyrehatóbb vizsgálattal az AMD-nél fognak kipotyogni csontvázak.
---
Régóta vágyok én, az androidok mezonkincsére már!

Szerintem az intel pont a jelenlegi relatív nehéz helyzetében azt gondolnám, hogy a rivális procijaira azért ráfekszik ilyenkor. Volt olyan korábbi bug, ami részben vagy egészben érintett AMD procikat, pont náluk egész jól visszakövethető: https://www.amd.com/en/corporate/product-security

Persze az is valószínüsíthető, hogy lesz majd AMD specifikus bug is, de az eddigiek szerint egy fokkal jobbak ilyen szempontból.

Megpróbálkoztak vele, erről írtam a másik topicban https://hup.hu/node/164286#comment-2348827. A finding-ok valósak voltak, de a tálalás nagyon szenzációhajhász volt, erre az AMD szépen nyugodtan kiadta a patcheket (rácáfolva az állításra, hogy a hibák javíthatatlanok lennének).

Nyilván nem lett bizonyítva, hogy az Intel volt a megrendelő, de kb mindenkinek azonnal ez jött le. Szerintem innentől az Intel PR-osai vették a lapot, hogy ez visszafele sült el, és inkább leállították a konkurencia fikázásra tett kisérleteket.
---
Régóta vágyok én, az androidok mezonkincsére már!

probalkoznak a Zent is meghákolni, csak eddig nemnagyon jott ossze.

a regebbi AMD procik meg a hyperthreading / smt teljes hianya miatt ezekre az uj bugokra immunisak.

--
HUP te Zsiga !

Elég sok bugból kimarad a Ryzen. Bár ha jól tudom, nem mindegyik kerülte el.
Kezd érdekelni ez a proci, mert számítási teljesítményben sem sikerült rosszul.

Egyébként az összes támogatott Linux kernelbe bekerült május 16-án valami javítás ezekkel a bugokkal kapcsolatban. Meg is lepődtem az egyidejű sok javításon. Linux disztrbúciókhoz is jött a javított kernel.