Ha ez így lenne, akkor az igaz lehetne amit állítasz minden kártevő kódra, vagyis teljesen felesleges lenne a biztonságtudatos böngészés. Ami természetesen nincs így.

[ Szerkesztve ]

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Bocsi, nem állt szándékomban vitát kiváltani. Nekem igazából azzal van gondom, hogy az emberek döntő többsége nemhogy azt nem tudja, mi a teendő, hanem azt sem, hogy egyáltalán lenne dolga a gépével. A mobilosok meg egy más tészta, nekik nem is kellene megmozdulni, de szerintem a pár éves felsőbb kategória kivételével pont letojják a készülékeiket a gyártók, akár problémás, akár nem.

A javascripten keresztüli támadás ellen a browser javítás véd meg akkor is ha nincs hardveres védettséged. A fizikai hozzáférés biztosításán kívül csak a szándékosan futtatott kártékony kód esetén lehet benyelni. Úgy meg bármit, a spectre lesz a legkisebb veszélyforrás.

[ Szerkesztve ]

evDirect villanyautós töltőhálózat

Nem ezt mondtam. Azt mondtam, hogy az okos böngészés hamis biztonságérzetet ad, mert okosabbnak hiszi tőle magát az ember az ártó szándékú egyénektől.

Én is jártam már úgy, hogy felnyomták az egyik magyar oldalt, ahová gyakran jártam fel. A virker fogta meg a cuccot (és egyből bontotta a kapcsolatot az oldallal), amit pusztán az oldal betöltésével már a gépre küldött.
Egy nappal később vették csak fel az oldalt a bejelentett támadó webhelyek közé, szóval ennyit az okos böngészésről... (legalább is Windows alatt)

[ Szerkesztve ]

Nincs más - csak egy szál gitár - szidom a rendszert - forradalmár. - Én vagyok egyedül 88 telén. (Auróra)

Akkor mi ad valós biztonságot? Ja, olyan nincs.

evDirect villanyautós töltőhálózat

Nem véd meg, csak nehezíti a támadók dolgát. Ráadásul ott van a WebAssembly, ahol a gép erőforrásaihoz könnyebben hozzá lehet férni, mint Javascriptből.

Egyáltalán nem reprezentatív mintán végzett magánkutatásomban kiderült, hogy a legtöbb ismerősöm nem is hallott erről az egész ügyről, akik igen, azok is a címet látták, hogy "valami történt", de nem foglalkoztak vele/nem értik.

Az, hogy a prohardver lapcsaládra olyanok járnak, akik jó eséllyel érthetik, mi történt, és meg tudják védeni magukat, egy dolog, de ez a mérési hibahatáron kívül lévő kisebbség.

Én tavaly nyáron vettem új Androidos telefont, arra azóta nem érkezett biztonsági frissítés, természetesen a böngésző is a régi. A felhasználási szokásaim és a hardver miatt ez a két sebezhetőség engem nem érint, de mi van a többiekkel?

Az Android frissítési politikája miatt a világon lévő kétmilliárd készülék nagy része a Spectre-re nem készíthető fel, mert a gyártók a felelősek a szoftverekért, nem a Google. Főleg Magyarország és az egyéb, csóró országok vannak nagy kockázatnak kitéve, mert jobb híján az olcsó kínai telefonokat/médialejátszókat veszik meg, amelyekkel fél-egy év múlva már nem foglalkoznak a készítőik.

Tehát adva vagyon a világon leginkább elterjedt mobil operációs rendszer, az Android, amit kilencven valahány százalék eséllyel nem tudsz frissíteni, azaz gazdasági megfontolás miatt a Google az IT világ legnagyobb kártevője. És még csak választani sem tudunk mást, hisz nagy tapsikolás közepette a Windows Phone kimúlt, az iPhone meg a gazdagok játékszere.

Scriptblock, egy rakás oldalon nekem teljesen tiltva vannak a scriptek és a reklámok. A PH bánatosan néző cicás cikkei után itt engedélyeztem őket, de máshol keményen szűrve vannak. Klikkelgetni se klikkelgetünk a nagy zöld "DOWNLOAD" gombra.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

Korábban írtak olyat, hogy a vírusirtóhoz is van kötve a frissítés. Ha nincs, vagy régi ( nem írt be egy adott kulcsot a registrybe, hogy megfelel a frissítésnek ), akkor nem jelenik meg neked ez a frissítés.

Azért nem érkezik meg a frissítés, mert az antivirusod (ha van) nem kompatibilis a windows patchel.
A microsoft úgy engedélyezi a Januári patch telepítését, ha az antivirus program egy megadott registry kodot berak a megfelelő helyre. Ezzel jelezve a rendszer felé, hogy ő kompatibilis a patchel.

Ha van antivirusod, akkor nézd meg, hogy van-e frissebb verzió belőle. Jó eséllyel a most telepített nem kompatibilis a patchel.

Amennyiben nincs antivirusod, akkor kézzel kell berakni a registry key-t.

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Note: Customers will not receive the January 2018 security updates (or any subsequent security updates) and will not be protected from security vulnerabilities unless their antivirus software vendor sets the following registry key:

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

miután ez a key a helyén van, le fog töltödni a windows patch.

Ezt értem és egyet is értek vele, de szerintem ez nincs ellentmondással azzal, mint amit írtam.

(#54) gabor.79

Ezzel is egyetértek. Azonban szerintem ez sincs ellentmondásban azzal mint amit írtam.

(#55) CPT.Pirk

"az okos böngészés hamis biztonságérzetet ad, "

Ez igaz, akkor félreértettelek.

[ Szerkesztve ]

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Vannak érdekességek ebben a cikkben: "A gyártók többsége már a legtöbb érintett géphez biztosítja a számítógép BIOS frissítését"
Az, hogyne, talán egy pár legfrissebb termékhez és kész, attól még érintett a többi is.

Ryzen 7 5700G, 32 GB, RX6600XT, Windows 11

+ Male: koszi a valaszokat.

igaz, errol volt szo, eszemben is volt, csak valamiert kiment a fejembol.

megneztem a provider-em oldalan, mar nagybetukkel reklamozza, h ok erre fel vannak keszulve, meg h az elsok kozott voltak, blabla, es hogy ellenorizzem/frissitsem az 'engine'-t. megneztem, mar a legfrissebb, tamogatotton volt, es megsem akart lejonni WinUpdate-en keresztul.

sz'al visszakerestem az elozo oldalon irt KB szamra, es leszedtem a legutolso, kumultativ update-et az update catalog-bol. felment, remeljuk valoban vedelmet fog adni az ilyen tipusu tamadasokra.
mondjuk az Inte SA Detection tool a frissites feltelepitese utan is azt irja, h 'vulnerable' vagyok...

[ Szerkesztve ]

Big girls ride harder. ヅ || Kondi powaa'!

Nekem nem jött le még a KB4056892 frissítés.
A megadott linken [(link)] ellenőrizve a Chrome és az IE védett a Spectre ellen az Edge VISZONT NEM! Tehát ha Chrome-mal vagy IE-vel netezek, elméletileg a Spectre ellen védett vagyok, tehát nem kell felraknom a drasztikus lassulást okozó mikrokódot.

ez viszont eleg lenne a vedelemre? hogy a bongeszo frissitve legyen, es tamogassa a vedelmet? ez esetben nem szukseges telepiteni a lassulos patch-et?

mas: akarnam ellenorizni a cikkben leirt modon, PowerShellben az eredmenyt, de nem vart hibakba utkozom...

Big girls ride harder. ヅ || Kondi powaa'!

Nagyon köszönöm a cikket, sokat segíti a munkámat.
Üdítő ilyet olvasni

Adalék:
Céges vasak zöme: MSI H110M PRO-VD PLUS, i3-6100.
A legfrissebb BIOS, alaplapi driverek, és szoftverek frissítése után már nem ír ki sebezhetőséget az SA-00086 tool.
Mivel irodai vasakról van szó, ezért nem vettünk észre lassulást.

Hát, elméletileg a netről lehet beszerezni a Spectre-t kihasználó programokat, de ha a böngésző védett ellene, akkor szerintem védett a gép is. A Meltdown ellen pedig a Windows frissítés lesz jó.

A Spectre ellen a böngésző nem tesz védetté a gépet, csak Javascriptből lesz nehezebb a támadás. Bármely natív programban implementálható az algoritmus, amivel kihasználható a sebezhetőség.

Ok, de valahogy a gépre kell jutnia egy kártevőnek, nem? Vagy bárki rápingelve az IP-mre némi pötyörészés után adminjogokkal futtatja a p0nhub.exe-t, úgy is, hogy senki sem ül a gépnél?

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

Elmész a Google alkalmazásboltjába, letöltesz egy véletlenszerűen kiválasztott szoftvert, és ott lehet benne.

A legszebb egyébként, hogy semmilyen adminjog nem kell a hiba kihasználásához.

Nekem most így néz ki:
[link]

Szóval akkor már csak egy BIOS frissítés kéne?

Kend azt hiszi ez csak úgy van, hogy befogjuk a kancát a szekér elé, és gyi te szürke???

Az átlag felhasználónak gyakorlatilag semmilyen lassulást nem okoznak. Azok a programok lassulnak be, amelyek nagy mennyiségben tartalmaznak rendszerhívásokat. Ha csak olyanokat használ, akkor 50% lassulás mérhető. Spectre/Meltdown: máris itt van az év biztonsági hibája?

[ Szerkesztve ]

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Userként se futtatok pit#schahub.exét, illetve az alkalmazásboltból se töltök le fingós meg cicrázós appokat. Hálistennek random idegenektől se kell csatolmányos maileket fogadnom, így a gépre kerülő pdf/word/stb anyagoknál is kicsi az esély a fertőzöttségre.

Nem vagyok híve egy rés folt nélkül hagyásának, de komoly teljesítménybukóba nem vagyok hajlandó belemenni. Legrosszabb esetben az erőgép szépen lejön a netről és az érzékeny pl banki műveleteket másik, patchelt gépen csinálom.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

Arra azért kiváncsi leszek, hogy ez hogyan fogja befolyásolni a processzor árakat, mert mégiscsak 0-50% -os sebességcsökkenés azért nem semmi. Másrészt arra is, hogy ez mennyire rendezi át a processzorpiacot. Az AMD kevésbé érintett a problémába mint az Intel.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

ertem.

a PowerShell-es cumo azota sem mukodik, mar Set-ExecutionPolicy Bypass-ra Premission denied-ot kapok, hiaba engedelyezem neki elotte a Y paranccsal, h atirja...

Big girls ride harder. ヅ || Kondi powaa'!

Hibaüzenetet nem írtál, de lehet segít, ha a végére beírod -Scope CurrentUser. Nálam így futott le.

Win 7, Haswell, SSD összeállításra most tettem fel a frissítést... FF-ben rengeteg nyitott fül (150 körül), eddig is nehezen indult, de a frissítés óta sokkal lassabban
( más változás nem volt a gépen, és az FF-ben sem )

ahh, bocsi, az lemaradt.

kiprobaltam, igy sem muxik...

Big girls ride harder. ヅ || Kondi powaa'!

Olvass vissza, a cikkben rosszul van írva egy csomó minden. Kell az install után import-module speculationcontrol is, amikor futtatni akarod a végén a get kezdetű parancssal, akkor meg nincs benne szóköz. A 18as posztban jól van leírva.

[ Szerkesztve ]

Ryzen 7 5700G, 32 GB, RX6600XT, Windows 11

valoban, koszi a felhivast, a #27-esben levo szerint jartam el, es igy mar mukodott!

Big girls ride harder. ヅ || Kondi powaa'!

Milyen frissítést tettél fel? Az 57.0.4 és feljebb az eleve védve van, ha csak azt akarod védeni, akkor nem kell külön frissítés. Másrészt az amit éreztél az valószínűleg placebo. A hibák javítása csak (!) abban az esetben lassítanak, ha az adott program sok rendszerhívást végez. Ettől függően 0 és 50% között van a lassulás (0% 0 rendszerhívás esetén, 50% lassulás pedig 100% rendszer hívás esetén). A lapok megnyitásához szerintem (ebben nem vagyok biztos!) nem kell rendszerhívás, azaz nem szabad, hogy lassulást okozzon.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Szerintetek erre az alaplapra remélhetek BIOS frissítést?

Kend azt hiszi ez csak úgy van, hogy befogjuk a kancát a szekér elé, és gyi te szürke???

Szerintem nem várható, de ne legyen igazam.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Hát ez nem jó hír akkor

Gondolom akkor a sebezhetőség továbbra se marad majd lezárva, mivel nem lesz rá javítás...

Kend azt hiszi ez csak úgy van, hogy befogjuk a kancát a szekér elé, és gyi te szürke???

Nézz utána, hátha az Intel Management Engine lett frissítve. Nekem egy acer Aspire VN7-592G notim van. Arra sincs BIOS. ME frissítés volt.

A Win 7 2018-01-et. Valamiért a sok fül nyitás amúgy is az SSD-t beterheli, így gyanítom sok a rendszerhívás. Illetve ha jól rémlik azt írták, hogy a font render is rendszerhívásokkal megy a Win7-nél még ( és pont itt nyer a Win10 ), ezért is okoz nagyobb lassulást.
Nem hinném, hogy placebo, mert elég sűrűn csinálom, reflexből megy, hogy katt a tálcán, és CTRL+T és elkezdem gépelni a címet... van egy ritmusa, amit megszoktam, és most nem megy azóta, még nem nyílik meg az új fül amikor már begépeltem 2 betűt. ( meg akkor máshol is érezném, de nem, ez az egyetlen amin észrevettem a lassulást... az Android Studio indulása is gyanús, de ott mindig mások vannak nyitva alapból, meg szinte minden nap frissül benne valami, így a fene tudja )

Meg néztem az intel oldalát, de ott csak Linuxhoz van firmware frissítés csak...
[link]

Kend azt hiszi ez csak úgy van, hogy befogjuk a kancát a szekér elé, és gyi te szürke???

Lehet, hogy csak a szokásos... "öreg", lesz@rjuk.

(Vagy nem is kell hozzá)

Két megoldás is van, új BIOS híján. Az egyik, hogy ha majd az Intel kiad új mikrokódot a procihoz, akkor ezzel a módszerrel felrakod.

A másik módszer, hogy a MS talán beépíti a retpoline technikát az egyik patchbe, bár ehhez az alkalmazásokat is patchelni kell (patchelt fordítóval kell csak újrafordítani, nem kell őket átírni).

Kár emiatt idegeskedni, mert előbb-utóbb mindenki védve lesz, csak akinek régi gépe van, többet kell rá várni.

2. gen mobil i7-est használok Linuxszal, és már több mint két hete (a sebezhetőség publikálásától számítva) védtelen vagyok Spectre1 és Spectre2 ellen, igaz a disztrómon a Meltdownt 24 óra alatt befoltozták, jött hozzá a frissített kernel.

Van egy harmadik módszer is, amit itt írnak Intel Managment Engine, ezt még nem próbáltam, de ez lényegében az mikrokódos módszer egyik variánsa, arra épül, és amíg a proci nem kap új mikrokódot, addig ezt a módszert sem lehet használni.

"Kár emiatt idegeskedni, mert előbb-utóbb mindenki védve lesz, csak akinek régi gépe van, többet kell rá várni"

Addig a hackerek hadd ügyködjenek?

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Tényleg, valamelyik szerkesztőnek nincsen kedve körbehívni a nagyobb márkák képviseleteit, hogy hol mi a policy? Van sebezhetőség, amiben kb. a 2. generációs Core-októl (Sandy Bridge) van érintettség, a support viszont tipikusan 3 évig él egy modellre, de még a fizetős, kiterjesztett támogatás is max. 5 év. Márpedig egy Sandy vagy Icy Bridge-es laptop ennél már öregebb.
Ennek megfelelően a Dell pl. a régi modellekhez nem is ad ki új BIOS-t vagy mikrokód-frissítést.

A tej élet, erő, egészség.

"Ennek megfelelően a Dell pl. a régi modellekhez nem is ad ki új BIOS-t vagy mikrokód-frissítést."

Szerintem ez a processzor gyártók sara, elsősorban nekik kellene lépni.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Az ME-t a Dell tudja pl. kikapcsolni, nem az Intel.

De a Dell is az 5 éven belüli gépeihez adott ki új BIOS-t a Spectre stb. ellen. Szóval nem az Intelre kell várni, nem az ő saruk. (Az más kérdés, hogy az aktuális mikrokód-frissítéstől sok gép instabil lesz, azt valóban nekik kell megoldani, minél sürgősebben. Állítólag a gyártóknál már kint van béta-teszten.)

A tej élet, erő, egészség.

Ez az lenne? Intel® Management Engine Critical Firmware Update (Intel-SA-00086)

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Szerintem meg de, az Intel sara. A procikat csak ő tudja átprogramozni. A Dell is csak azt a mikrokódot tudja beletenni az új BIOS-ba, amit az Intel kiad.

(#92) joghurt: a Dell és a Lenovo ad majd ki a 2. gen. és annál régebbi gépekre, lapokra is új BIOS-t, csak várni kell rá. Az Intel meg az összes sebezhetőre ad ki, egyelőre most januárban az 5 éven belüliekkel foglalkoznak, de utána a többi is sorra kerül.

(#91) Kékes525: így van, a hackereknek és malware-íróknak szabad a pálya sajnos. Nekem sem tetszik, már jó ideje sebezhető a gépem, de mit lehet tenni. 2 hét múlva a disztrómba biztosan lesz olyan kernel, ami a Spectre1-2 ellen is véd (szoftveres módszerrel, amihez nem kell mikrokód), utána részemről rá fog érni amúgy is a javítás.

1. A hackerek nem ügyködnek, mert még nincs ami a Spectre és a Meltdown sebezhetőséget kihasználja.
2. 10 éve megvan ez a hiba. Sőt már 10 éve vannak más hibák is, csak azok majd később derülnek ki.
3. Chrome böngésző védett a Spectre ellen, a Meltdownt pedig a Win patch befoltozza.
4. Ha valaki mégis futtatni akar egy még nem létező Spectre hibára épülő kódot, azt meg a víruskereső blokkolja.
5. Biztos vagyok benne, hogy lesz rá a problémára "okos" és egyszerű megoldás is.

Ubuntu 16-on a legfrissebb kernellel mindkét spectre sebezhetőségre azt írja, hogy sebezhető:

Checking for vulnerabilities against running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
CPU is AMD Athlon(tm) II Neo N36L Dual-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 33 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

A kitárulkozó idegenektől mindig elfog a hányinger. [Cornelius]

A 4.15-ös RC8 kernel már tartalmazza a Spectre1-2 elleni javítást, a disztrókba ez nem érkezett meg, egy hét múlva jelenik meg a végleges 4.15-ös verzió. Az Ubuntu 16.04-ben 4.4-es LTS kernel van, majd ehhez is backportolják a javítást, csak várni kell rá. Épp így a 4.9-es, 4.14-es ágba is megérkezik majd, elvileg a 4.14.14-es (amelyik tartalmazza) már meg is jelent, de elég kevés disztróba érkezett meg, az ilyen frissebb disztrók egy hét múlva megjelenő 4.15-re várnak és gyúrnak, szerintem azért.

Lehúztam az Arch Testingből a 4.14.14-et, ez úgy néz ki foltozott a Spectre2 ellen, de a Spectre1 sebezhetőség nincs foltozva eszerint:

Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities against running kernel Linux 4.14.14-1-ARCH #1 SMP PREEMPT Fri Jan 19 18:42:04 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i7-2620M CPU @ 2.70GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface: NO (kernel confirms your system is vulnerable)
> STATUS: VULNERABLE (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface: YES (kernel confirms that the mitigation is active)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface: YES (kernel confirms that the mitigation is active)
> STATUS: NOT VULNERABLE (Mitigation: PTI)

Eszerint csak a 4.16-os kernelben lesz benne a Spectre1 elleni javítás, tehát minimum 6 hét. A faxa.

[ Szerkesztve ]