Stabil-stabil, de mi a helyzet a lassulással??

A Haswell frissítés jó dolog, probléma, hogy a Haswell lapokat már csesznek támogatni a gyártók, az enyémhez kb 2éve jött az utsó BIOS.

30€ Meta store bónusz Quest headset aktiváláshoz, keress priviben :)

A másfél éves Asus lapomhoz (Z170-K) továbbra sincs fw erre a sebezhetőségre (az utolsó bios tavaly novemberben jelent meg).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Tök jó hogy sok típushoz van már, csak éppen a nem olyan régi Z170 es MSI laphoz csesznek kiadni a frissítést már egy jó ideje.
Azért nehogymár ennyire ne legyen support egy olyan generációra ami alig 2 éves. és ha azt vesszük akkor December januárig csak 1 szériával volt régebbi mint a legujabb intel....

MSI bezzek büszkén kirakta a táblázatát hogy melyik alaplapjához melyik BIOS tartalmazza a frissítést, csak az a probléma hogy egyes BIOS verziók még nem is léteznek, még beta állapotba sem.

Engem speciel nem zavar nem érzem érintettnek magam csak a kommunikáció az ami gyászos, ha már azt mondjuk hogy van akkor vegyük a fáradtásgot és ne 3 hónappal később adjuk ki a nagyközönségnek.

[ Szerkesztve ]

Ahogy a fent említett példák igazolják, nem biztos hogy az Intel "töke" az, amit szorongatni kellene...
Szerinted hány OEM adna ki új fw-t az általad említett architektúrákra? Még a Skylake lapokra sem adnak ki új biosokat a gyártók, nemhogy olyan régi vasakra...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Részemről az utolsó mondatban reménykedem. Korábban volt már rá példa, hogy Windows Update-en keresztül érkezett CPU mikrokód, így elkerülhető lenne az a probléma, hogy BIOS frissítést gyakorlatilag senki nem fog kapni, akinek 3 évnél régebbi alaplapja és processzora van.

Szegény öreg laptopom Sandy processzora ha már kaphat javítást, akkor kapja is meg, hiába nem adott ki már vagy 6-7 éve új BIOS-t a Fujitsu.

2015 decemberi az utolsó BIOS a lapomhoz, kíváncsi lennék mi lesz ezzel, tavaly még simán lehetett kapni.

Play Hard GO pr0! - A bugfix, a hiba véglegesítése a programban.

Remélem nem lesz "kötelező" használni ezt a Windows Update-es mikrokódot. Nekem pl számít az a 15% teljesítmény amit vesztenék vele. Legfeljebb nem bankolok a pc-n.

Egyébként nem tudom, miért kell fosni a bankolástól, ha megszerzik a jelszavad. És...
Max. megnézi a számlaegyenleged és sírva fakad , a végén még ő utal neked lóvét, szegény csórónak, ennyi gyerektartás fizetni. Vagy azt mondja hüha, ennyi della, inkább nem kezdek ki vele és elhúz.
Viccet félretéve, tranzakciót nem tud indítani sms kód nélkül.

[ Szerkesztve ]

Gondolom a mikrokód efi firmware-be integrálása megoldható lesz UBU-val. Legalábbis az AMI verzióknál. Talán az intel is kiad a régi platformokhoz valamilyen eszközt, amikor elkészül a végleges firmware haswellhez és társaihoz

[ Szerkesztve ]

"Az információ korában az evolúciós szelekció azokat tizedeli, akik képtelenek a hamis információt megkülönböztetni a helyestől"

15% teljesítmény vesztést valós tesztben, nem pletyusban hol láttál?

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

Az a baj, hogy AIPs támadások esetén csak az egyik baj a bankszámla. Egy email jelszó, hol dolgozol... legalább ekkora galibákat okozhat.

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

Pont ezt ecseteltük a minap. Ne így gondolkozz. Elég egy olyan script ami átírja a számlaszámot másikra utalásnál, ezt az user csak késve veszi észre miután az utalás megtörtént egy másik számlára...

Igen, az email jelszó gondot okozhat, de ő a bankolásról beszélt.

"A másfél éves Asus lapomhoz (Z170-K) továbbra sincs fw erre a sebezhetőségre (az utolsó bios tavaly novemberben jelent meg)."

És ez amikor javascriptel már demonstrálták a kihasználhatóságot elég rémítő. Egy rossz vagy feltört honlap bőven elég.

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

Igen, meg a Chip magazinban azt fejtegették, hogy a bankos jelszó ne okos telefonra érkezzen, hanem egy butatelefonra... Nem tudom, nekem ez már kicsit túlzás...
Aki ilyen profi módszereket vet be, az szerintem nem az én számlámra fog szemet vetni, hanem sokkal vastag számlát vesz célba. Ezt én így gondolom.

A cikk pont arról szól, hogy Intel kiadja a frissítéseket szinte minden elérhető CPUhoz,dolgoznak rajt. A gyártókon múlik a BIOS dolog. Szerencsére a cikk is megemlíti, hogy szóba jöhet az alternatív út, mikor Winen át frissíted. Ez lenne a legszuperebb, szerintem ezen dolgoznak ők is.

[ Szerkesztve ]

"A számítógépek hasznavehetetlenek. Csak válaszokat tudnak adni." (Pablo Picasso) "Never underrate your Jensen." (kopite7kimi)

Régen a Raffinál voltam, ott ha beakartam lépni a fiókomban, nem kellett SMS jelszó, most a K&H-nál vagyok, ott a fiokba belépéshez is kell jelszó. Tehát csak jelszóval nem tud belépni a fiókomba, kell egyszeri SMS jelszó, ami pár percig használható.
Tehát tudnia kellene a felhasználó nevemet, jelszavamat, telefonszámomat, fel kellene törni a telefonomat és sikeres tranzakciót indítani valahogy. Nyilván van esély, hogy ez megtörténik 0,001%.
Ha mégis feltörné, nem 100 eFt.-t fogja ezt egy profi kockáztatni. Ha ennek ellenére mégis megtörténik, a banknál lehet kártérítést kérni. Nem biztos, hogy fizetnek, de van rá esély.
Szerintem, ez egy kicsit túl van spirázva.

[ Szerkesztve ]

Január első hetében olvashattunk a Spectre hírről. Nekem Skylake-X-re Január 17.-én jött az új Bios, Updated CPU microcode megnevezéssel.
Két hete megint dobtak egyet.
Ne általánosságot vegyél.

[ Szerkesztve ]

le is tépném az arcát az intenlek ha egy ilyen platformna nem csinálná meg szinte majdnem azonnal.
Témára visszatérve a Skylke-X nem általánosság, szóvel ne keverjük ide.

A JavaScript-el kihasználhatóság ellen elég egy friss böngésző. Firefox és Chrome legalább is már egy ideje kiküszöbölte a Spectre-t és Meltdown-t.

[ Szerkesztve ]

30€ Meta store bónusz Quest headset aktiváláshoz, keress priviben :)

remélem azért nem így lesz .

[ Szerkesztve ]

"A számítógépek hasznavehetetlenek. Csak válaszokat tudnak adni." (Pablo Picasso) "Never underrate your Jensen." (kopite7kimi)

Az intel hivatalos közleményében volt ilyesmi becslés a 6. generációnál régebbi CPU-k esetében.

JS kb a legfelső réteg. Ha vmi avval kihasználható az komoly hiba, ami minden alsobb szinten létezik és kihasználható.

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

hát ha van ilyen akkor ez elég gáz, rengeteg öregebb gép használhatósági értékét rontja le, nyírhatja ki.

Ezt a hszt egy T400ról géepelm. ~2010es P8400 van benne. 15%nyi teljesítménycsökkenés az erősen betenne neki. De ennyi még egy T430nak is.

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

Tényleg értsük már meg hogy ez a 15% teljesítménycsökkenés csak a nagyon sok fájlmüveletekre építő programoknál jelenkezik ( SQL server, adatbázis kezelés, vagy millió apró fájl mozgatása). Átlagos felhasználásnál még 1%ot sem éri el a teljesítménycsökkenés.

[ Szerkesztve ]

Nem én írtam.

don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...

Tudomásom szerint csak a timerek felbontásán rontottak (illetve randomizálták, hogy statisztikázni se lehessen), a legtriviálisabb felhasználási módot kiiktatva. Ha valahogy sikerül összeütnöd magadnak egy nagy felbontású, nagyjából használható időmérő eszközt (valaminek nagy pontossággal meg tudod tippelni a futásidejét, pl. js workerben int összeadást iterálsz), azzal is ki tudod használni a sebezhetőséget.

Aztán persze nem másztam bele nyakig a témába, ha neked pontosabb információid vannak, azokat szívesen venném.

Egyáltalán nem olyan rémítő. Egyrészt BIOS nélkül is fel lehet tenni a mikrokódot Windowsra (most csak azért sem teszem be 100. alkalommal a VMware-es linket, majdnem minden vonatkozó témában belinkelte már valaki), másrészt meg a böngészők voltak az elsők (még a kernelek előtt), amelyeket foltoztak ezen sebezhetőségek ellen, úgyhogy JS senkinek nem fog a böngészőjében ilyet disznólkodni, csak nem 1000 éves verziót kell használni.

Ami nekem nem tetszik, hogy oké, vannak új mikrokódok, egyes procikra béta formájában, csak letölteni nem lehet őket, az Intel oldalán még mindig a 20171115-ei mikrokódcsomag a legfrissebb. Nem tudom így mire fel várják, hogy valaki teszteli a bétás mikrokódokat. Ugyan Linuxon pár hete már védve vagyok tisztán szoftveres patchekkel (nem kell hozzájuk mikrokód), de pl. kíváncsiságból én tesztelném gen2-3 Core i procin, ha le lehetne tölteni.

Nézzétek meg a teszteket, már millió 1 oldalon találni, és a legtöbb helyen ami nem masszív fájlműveletes ott gyakorlatilag hibahatáron belül van a különbség.

Amiket te írsz abból ha jól tudom csak az induláskor érezhetsz különbséget míg betöltöd a sok fájlt, után már semmi.

"JS kb a legfelső réteg. Ha vmi avval kihasználható az komoly hiba, ami minden alsobb szinten létezik és kihasználható."

Ez az egész akkor használható ki gyakorlatilag, ha a támadó valamiféle saját készítésű programkódot tud a gépedre juttatni, mint amilyen pl. a JavaScript. Anélkül erősen esélytelen. Persze, soha nem lehet az ember 100% semmiben...

Chrome-ben tudom hogy az időmérés szabotáláson kívül más trükköket is fejlesztettek, mind pl. hogy tömb túlcímzésnél a téves spekulatív ágon is korlátozódik, hogy meddig nézhetsz el, mert feltétel nélkül rányomnak egy bitmaszkot az indexre. Voltak még egyebek is... most erre emlékszem. Hogy ezekből mi került be már, azt mondjuk nem tudom.