» »

Nove ranljivosti v Intelovih procesorjih

Nove ranljivosti v Intelovih procesorjih

Intel - V Intelovih procesorjih so odkrili štiri vrste ranljivost, ki sodijo v razred Meltdownu in Spectru podobnih ranljivosti. Nove ranljivosti, ki so jih poimenovali Zombieload, prav tako izkoriščajo špekulativno izvajanje ukazov. Gre za tehniko povečevanja zmogljivosti procesorjev, tako da ti ob prostih stopnjah v cevovodu začno izvajati dele kode, za katero sploh še ni jasno, ali in s kakšnimi vhodnimi vrednostmi se sploh mora izvesti. Če se kasneje izkaže, da je v kakšni razvejitvi treba ubrati drugo pot, se predhodni izračun pač zavržejo, s čimer načeloma ni nič narobe. Težava pa je, da lahko zaradi tega pride do sprememb v registrih, predpomnilnikih ali kod drugod, kar načeloma lahko opazujemo. Rezultat je uhajanje podatkov do neavtoriziranih procesov in uporabnikov.

V napadu so tarče Intelove mikroarhiteturne podatkovne strukture, denimo hitri predpomnilniki za ukaze load, store ali line fill. Procesorji jih uporabljajo za hiter dostop in rokovanje s podatki, ki jih obdelujejo. Raziskovalci so odkrili štiri sorodne ranljivosti CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 in CVE-2019-11091.

Intel, ki je napako že potrdil in odpravil s posodobitvami mikrokode, jo imenuje MDS (Microarchitectural Data Sampling). Napako so odkrili tako Intelovi raziskovalni in partnerji kakor tudi neodvisni znanstveniki, ki so jo podjetju sporočili. V Intelovih procesorjih Core 8. in 9. generacije je napaka že strojno odpravljena, v vseh ostalih od leta 2011 pa so potrebne posodobitve mikrokode. Ob tem Intel zagotavlja, da je izraba MDS tehnično zapletena, napadalci pa ne morejo sami izbirati, katere podatke želijo pridobiti. Večji proizvajalci operacijskih sistemih bodo v naslednjih tednih pripravili še svoje popravke, ki bodo dodatno onemogočili izkoriščanje teh ranljivosti. Izklop HyperThreadinga onemogoči vse ranljivosti.

40 komentarjev

LightBit ::

Sem že mislil, da ne bo novice, ker je to že tako vsakdanje.

PaX_MaN ::

V Intelovih procesorjih Core 8. in 9. generacije je napaka že strojno odpravljena, v vseh ostalih od leta 2011 pa so potrebne posodobitve mikrokode.

Hm, neki pravjo da so popolnoma strojno popravljeni sam Xeoni 9. generacije.

Dr_M ::

Nove mikrokode so na voljo ze kaksen mesec.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Invictus ::

Te ranljivosti je v bistvu zelo težko izkoristiti.

Na papirju zgledajo simple, v resnici pa je mogoče 1%% od 1%% programerjem, ki to znajo implementirati...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jype ::

Invictus je izjavil:

Na papirju zgledajo simple, v resnici pa je mogoče 1%% od 1%% programerjem, ki to znajo implementirati...
Problem je v tem, da ko je enkrat implementirano, lahko skopiraš kamorkoli.

Invictus ::

Samo večina noče za to plačat ;).

Sicer je pa ranljivost javna iz je v OSih že patch...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

FireSnake ::

Invictus je izjavil:

Te ranljivosti je v bistvu zelo težko izkoristiti.

Na papirju zgledajo simple, v resnici pa je mogoče 1%% od 1%% programerjem, ki to znajo implementirati...


Koda je že (brezplačno) na GITu:
https://github.com/IAIK/ZombieLoad
Kaj že hočeš ti povedati?

Invictus je izjavil:


Sicer je pa ranljivost javna iz je v OSih že patch...

Intel navaja, da bi bilo treba (za popolno varnost) izklopiti večnitenje.
Kako potem lahko verjameš, da obstaja popravek?
Sem vesel zate, da si tako naivno zaupljiv.


------------------------------


Zakaj novica ne omenja poskus podkupovanja, da stvar ne bi prišla v javnost:
https://www.techpowerup.com/255563/inte...
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

filip007 ::

Če bi imel HT CPU, potem bi naredil WinRar test, če ga sploh rabim, drugače izklopil.
Trevor Philips Industries

Glugy ::

Kdaj bodo pa mikrokode popravljene ob nakupu? Bodo za to poskrbel prodajalci?

Dr_M ::

Glugy je izjavil:

Kdaj bodo pa mikrokode popravljene ob nakupu? Bodo za to poskrbel prodajalci?



To ni njihova naloga.
Sicer pa imam obcutek, da niti proizvajalci ne bodo dal novih biosev ven.
Asrock je za Z270 plate nazadnje izdal bios marca lani. Ostali tudi niso dosti boljsi. Podpora za eno leto in potem odjebi. Za malo boljsi vtis, bi moral intel mocno pritisnit, da bi izdal biose z novo mikrokodo, za vse plate od sandy bridge do CL.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

dexterboy ::

Izklop HyperThreadinga onemogoči vse ranljivosti.
Zmagovita!
Dejmo nehat piti vodo, da je ne bomo onesnaževali... moja prva asociacija ;)
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

Furbo ::

Zgleda bomo kupovali nove procesorje samo še zaradi varnosti, napredka pri hitrosti itak ni omembe vrednega.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

LightBit ::

dexterboy je izjavil:

Izklop HyperThreadinga onemogoči vse ranljivosti.
Zmagovita!
Dejmo nehat piti vodo, da je ne bomo onesnaževali... moja prva asociacija ;)

Večina i5 je brez HyperThreadinga.

mirancar ::

FireSnake je izjavil:

Invictus je izjavil:

Te ranljivosti je v bistvu zelo težko izkoristiti.

Na papirju zgledajo simple, v resnici pa je mogoče 1%% od 1%% programerjem, ki to znajo implementirati...


Koda je že (brezplačno) na GITu:
https://github.com/IAIK/ZombieLoad
Kaj že hočeš ti povedati?

Invictus je izjavil:


Sicer je pa ranljivost javna iz je v OSih že patch...

Intel navaja, da bi bilo treba (za popolno varnost) izklopiti večnitenje.
Kako potem lahko verjameš, da obstaja popravek?
Sem vesel zate, da si tako naivno zaupljiv.


------------------------------


Zakaj novica ne omenja poskus podkupovanja, da stvar ne bi prišla v javnost:
https://www.techpowerup.com/255563/inte...

to je samo proof of concept, ne pa nekaj uporabnega. na koncu zveš da moraš biti prisoten na računalniku da kej takega čaraš. če si že prisoten gor boš kej lažjega izbral kot se zajebaval z to ranljivostjo, če že hočeš kej dosečt. nima se zarad tega noben sekirat, v vsem spisanem software-u je dovolj drugih ranljivosti, ki se jih maš za bat.

MrStein ::

Dr_M je izjavil:


Sicer pa imam obcutek, da niti proizvajalci ne bodo dal novih biosev ven.
Asrock je za Z270 plate nazadnje izdal bios marca lani. Ostali tudi niso dosti boljsi. Podpora za eno leto in potem odjebi. Za malo boljsi vtis, bi moral intel mocno pritisnit, da bi izdal biose z novo mikrokodo, za vse plate od sandy bridge do CL.

Ne igra neke vloge, ker Windows sam naloži mikrokodo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

FireSnake ::

Glugy je izjavil:

Kdaj bodo pa mikrokode popravljene ob nakupu? Bodo za to poskrbel prodajalci?


Za določene luknje tovrstne rešitve niso mogoče.
Pomaga le popravljena zasnova.
Poglej in se nasmej: vicmaher.si

pegasus ::

https://www.phoronix.com/scan.php?page=...

... se zdaj še komu zdi buldožer "modul" arhitektura nesmiselna? :)

FireSnake ::

FPS kavč majstri se s tabo ne bodo strinjali.
Poglej in se nasmej: vicmaher.si

Xserces ::

Auč... ponekod je kar obcutn drop performanca. In pa ja tukaj na slotechu zgleda so vsi tahudi gamerji da HT ne rabijo oziroma jih ne moti ta bug.
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

tikitoki ::

Najbolj zalostno je to, da bo v koncni fazi to voda na INTELov mlin, ko bo folk predcasno nadgrajeval. Razen, ce res pripomore k obcutnemu porastu AMDjeva trzenga deleza (zgodovisnko gledano je moznost zato majhna).

Mr.B ::

Ko bo intel dal ven novi procesor in pripravil rezerve, bo prišla ven nova luknje, in vsi bodo menjali procesorje zadnjih 10 let. In ker AMD ne bo imel kapacitet, bodo kupovali intla po "konkurenčni" ceni.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

D3m ::

pegasus je izjavil:

https://www.phoronix.com/scan.php?page=...

... se zdaj še komu zdi buldožer "modul" arhitektura nesmiselna? :)


Čisto nesmiselna ne se pa ve na katere kupce je Intel ciljal.
|HP EliteBook|R5 6650U|

Dr_M ::

MrStein je izjavil:

Dr_M je izjavil:


Sicer pa imam obcutek, da niti proizvajalci ne bodo dal novih biosev ven.
Asrock je za Z270 plate nazadnje izdal bios marca lani. Ostali tudi niso dosti boljsi. Podpora za eno leto in potem odjebi. Za malo boljsi vtis, bi moral intel mocno pritisnit, da bi izdal biose z novo mikrokodo, za vse plate od sandy bridge do CL.

Ne igra neke vloge, ker Windows sam naloži mikrokodo.


To je popolnoma enako, kot da bi rekel, da ne rabimo gasilcev, saj bo dezevalo enkrat.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

AndrejO ::

Dr_M je izjavil:

MrStein je izjavil:

Dr_M je izjavil:


Sicer pa imam obcutek, da niti proizvajalci ne bodo dal novih biosev ven.
Asrock je za Z270 plate nazadnje izdal bios marca lani. Ostali tudi niso dosti boljsi. Podpora za eno leto in potem odjebi. Za malo boljsi vtis, bi moral intel mocno pritisnit, da bi izdal biose z novo mikrokodo, za vse plate od sandy bridge do CL.

Ne igra neke vloge, ker Windows sam naloži mikrokodo.


To je popolnoma enako, kot da bi rekel, da ne rabimo gasilcev, saj bo dezevalo enkrat.

Na srečo vemo, da bo deževalo vedno natančno 0,3 sekunde po najavi prihoda vlaka in še preden se na zaslonu izriše indikator, da se operacijski sistem nalaga.

... če imaš OS za katerega še vedno izhajajo popravki. Če pa ne, potem pa veš, da pravzaprav ne bo nikoli deževalo.

Ales ::

CEO Clever Cloud pravi, da so v zadnjem letu in pol zaradi odkritih ranljivosti v Intel procesorjih (in posledično zaradi popravkov), izgubili okoli 25% procesorske moči.

Kaj je z novicami, da je Intel za pomanjkljivosti v zasnovi čipov vedel še preden so dejanske ranljivosti prišle na dan, pa jih je kljub temu proizvajal in prodajal naprej? Je to dokazano, ovrženo? Ali enostavno nočejo drezati v osje gnezdo?

MrStein ::

Dr_M je izjavil:

MrStein je izjavil:

Dr_M je izjavil:


Sicer pa imam obcutek, da niti proizvajalci ne bodo dal novih biosev ven.
Asrock je za Z270 plate nazadnje izdal bios marca lani. Ostali tudi niso dosti boljsi. Podpora za eno leto in potem odjebi. Za malo boljsi vtis, bi moral intel mocno pritisnit, da bi izdal biose z novo mikrokodo, za vse plate od sandy bridge do CL.

Ne igra neke vloge, ker Windows sam naloži mikrokodo.


To je popolnoma enako, kot da bi rekel, da ne rabimo gasilcev, saj bo dezevalo enkrat.

Hmm, a je Dr_M tisti AMD shill? Ker odgovor je že tak.

No, dejstva: Windows se updata vsak mesec, če je sila pa tudi lahko vsak dan.
BIOS se updata tu in tam. Ali nikoli.

Zdaj pa en kviz: kje bo razumem človek pričakoval (in tudi dobil) update?
a) v rednih in zagotovljenih update-ih OS-a
b) v BIOS update, ki pride, ali pa tudi ne...

PS: Je kje kaka primerjava price/performance za fully patched AMD in Intel CPU?
Da malo razpihamo meglo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

pegasus ::

Vpliv na intel vs amd: https://www.phoronix.com/scan.php?page=...

MrStein ::

Evo, update mikrokode, na vašem PC že nekje od prejšnje srede: https://support.microsoft.com/en-us/hel...

Me zanima, katera plata ima tudi že BIOS update.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

D3m ::

pegasus je izjavil:

Vpliv na intel vs amd: https://www.phoronix.com/scan.php?page=...


Zakaj penalty za AMD, če nima MDS?
|HP EliteBook|R5 6650U|

Mr.B ::

D3m je izjavil:

pegasus je izjavil:

Vpliv na intel vs amd: https://www.phoronix.com/scan.php?page=...


Zakaj penalty za AMD, če nima MDS?

SW Patch ali izklopljen HT.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

D3m ::

Torej morajo še malo poflikati SW, ker ponekod nima penalty za razliko od konkurence.

16% average drop out of the box je žalostno. :/
|HP EliteBook|R5 6650U|

MrStein ::

D3m je izjavil:


Zakaj penalty za AMD, če nima MDS?


To so patchi za druge vulnerability-je iz družine Meltdown/Spectre.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Mimogrede, kdor ne uporablja Windows 10 in nima BIOS update, lahko uporabi tole metodo za nadgradnjo CPU mikrokode: https://www.hardwareluxx.de/community/f...

Gre za USB ključek, ki naloži novi firmware v CPU in potem boot-a OS. Išči besedilo "Nach BIOS Inizialisierung per (USB) Bootloader uCodes nachladen" v prvem sporočilu.

Caveat:
- samo legacy boot zna naložiti MCU, če ključek bootate v UEFI načinu, potem ne bo šlo
- posledično ni mogoče zagnati OS, če je ta nameščen v UEFI načinu (vsaj jaz nisem na hitro našel načina)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Ales ::

Majhen, a pomemben popravek: ...kdor ne uporablja Windows 10 temveč starejše Windows in nima BIOS update, lahko...

Da ne bo kdo z Linux, macOS, FreeBSD, OpenBSD, itd. pomislil, da zanje tudi velja...

MrStein ::

Seveda velja za njih tudi (no, za Mac verjetno ne, ali pa , nisem probal).
Za Linux preverjeno deluje. Zakaj ne bi?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

Zakaj bi se mučil, če samo daš zadnji firmware v /lib/firmware, kar so distribucije že naredile.

MrStein ::

Povej tistemu, ki se z BIOS update muči... ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales ::

MrStein je izjavil:

Seveda velja za njih tudi (no, za Mac verjetno ne, ali pa , nisem probal).
Za Linux preverjeno deluje. Zakaj ne bi?

Ni ti treba početi tega. Linux, macOS, BSD-ji imajo mikrokodne popravke dodane v OS in ti se po potrebi naložijo ob zagonu sistema. Samo posodobljen OS potrebuješ.

V Fedori, Red Hat in CentOS Linux imeš paketa microcode_ctl za Intel in linux-firmware za AMD, za Arch Linux intel-ucode in amd-ucode, za Debian in Ubuntu intel-microcode in amd64-microcode, itd. Če distro zaostaja s posodobitvijo mikrokode, lahko v OS-u sam dodaš novo mikrokodo od Intela ali AMD-ja (pazi na initrd!) in od tu naprej uporabiš isti samodejni postopek za nalaganje mikrokode ob zagonu, kot ga OS sicer uporablja.

Preveri stanje po zagonu:
dmesg |grep microcode

Popravki mikrokode se sicer dogajajo tudi sicer, bolj medijsko prisotni so le ko pride kak tak zajeb v novice.

D3m ::

Intel Performance Hit 5x Harder Than AMD After Spectre, Meltdown Patches

https://www.extremetech.com/computing/2...
|HP EliteBook|R5 6650U|

MrStein ::

FYI: Za nepodprte Windows (7 in 8) je mogoče kopirati mcupdate_GenuineIntel.dll iz Windows 10 in bo pri naslednjem boot-u naložilo novejšo mikrokodo v CPU.

(jaz sem ga vzel iz namestitvenega ISO; če sem vzel iz nameščenega Windows 10, ni hotel delovati: BSOD takoj pri začetku bootanja)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivost v Intel procesorjih (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Strojna oprema		38355676 (3607) Horzen
»

Nove ranljivosti v Intelovih procesorjih

Oddelek: Novice / Procesorji		409567 (7206) MrStein
»

Nov dan, nova ranljivost v Intelovih procesorjih

Oddelek: Novice / Procesorji		1811614 (9854) D3m
»

Ranljivost v vseh operacijskih sistemih zaradi napačnega branja dokumentacije proceso

Oddelek: Novice / Varnost		85029 (3214) GizmoX

Več podobnih tem