Intel a spol. informovali svojich najväčších (čiže čínskych a amerických) zákazníkov. Nie čínsku a americkú vládu. Keďže čínska vláda svoje firmy špehuje, tak sa o tom nepriamo dozvedela tiež. Zatiaľ čo americká vláda svoje firmy nešpehuje takže o tom nevedela?? Chápem to správne? Lebo sa mi tomu nejak nechce veriť.
Skôr mám pocit, že nejaký "dôležitý" úrad americkej vlády zistil, že ho tá informácia nejak obišla, a že je teda neschopný/bezcenný. A teraz sa snaží využiť negatívnu náladu voči IT firmám, ktoré o tom vedeli a preniesť vinu na ne.
"Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné."
To jsou dneska zprávy :-P
> Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google)
Přímo v tom odkazovaném PDF jde velice snadno vidět jednotlivé dopisy pro Apple, Amazon, AMD, ARM, Google, Intel, Microsoft. Málem se jim to i povedlo dát správně podle abecedy :-)
Otázka znie inak. Kto zo zraniteľnosti ooo microarchitektúry ako takej môže profitovať na trhu, ktorý je už niekoľko rokov ťahúňom rastu a v globále tak stagnácie alebo mierneho poklesu PC segmentu ako takého.
Pozrite si vyhlásenie k Recent Vulnerability čínskeho domáceho výrobcu x86 CPU, GPU a chipsetov ako v domácej nateraz sebestačnej 28nm litografie naviac obsahujúcich inštrukcie resp. akceleráciu pre v Číne štandardizované kryptografické algoritmy SM3 (hashovacie funkcie) a SM4 (bloková šifra).
link: https://fuse.wikichip.org/news/733/zhaoxin-launches-their-highest-performance-chinese-x86-chips/
To sú tisícky a tisícky office PC do štátnej správy a korporácii a nielen office PC ale aj rôzne microserverové riešenia, embedded, digital signage atď.
A zrejme nezostalo len pri Číne môj najnovší úlovok, ktorý Lenovo zalistováva v (US, CA) rozm. ZhaoXin Blade Processor, a ThinkServer TS312Z Single Processor; ThinkServer RS312Z Single Processor; ThinkServer RS312Z-B Single Processor:
https://www3.lenovo.com/us/en/enterprise-product-group/thinkserver/c/77LS
https://canada.lenovo.com/sdwww3/ca/en/enterprise-product-group/thinkserver/c/77LS
asi tak ... a kdy se začne řešit ta největší díra děr jménem "člověk"? Firmy vyskakují, mluví se o špionáži, přitom doteď nikdo konkrétně neřekl, jak cílěně se kdokoliv může dostat k jakému objemu dat ... podle mého názoru je mnohem pravděpodobnější, že se najde další "snowden", než že někdo zneužije data tímto způsobem ...
Tohle je samozrejme uplnej nesmysl.
Intel nic netutlal, proste mu byla Googlem sdelena chyba, tak zacal s odpovidajici prioritou pracovat na oprave. Nejprve opravil chybu v budoucich procesorech, ktere byly ve stadiu navrhu, potom zacal opravovat na uz vydanych procesorech. Kdyby se z toho nestalo medialni silenstvi, tak by byl Intelu postoj ocenovan. Bohuzel behem medialniho silenstvi zacal Intel zmatkovat a pripustil, aby se teto slabine priradila mnohem vyssi priorita nez bylo nutne, tim vlastne medialni silenstvi podporil a ted nese ovoce sve marketingove chyby.
Srovnejme s klidnou a vyrovnanou AMD, ktera na medialni hru nepristoupila. Za me AMD jednicka s hvezdickou, jak to dobre vyresili. Jiste take je potkali problemy, ale za ne mohli tvurci OS Microsoft a tvurci linuxu.
A cetl jste ty papiry? Mluvim puvodni vedecke papiry reportujici o tech bugach? Pokud ano a pokud se v pocitacich vyznate, pak proste nemuzete prohlasit, ze chyba nebyla zneuzitelna! Specificky Meltdown je pro Intel hotove Waterloo a pro vsechny cloud providery nabizejici sdilene prostredky a pouzivajici Intel take.
Presne. :-) Ludia riesia obskurne technicke diery a potom veselo spustaju exace (idealne ako admin), co im pridu postou, pripadne si ich stiahnu z netu. :-) S kazdou hrou, co clovek kupi zo Steamu ma v kompe potencialne vsetko - od keyloggeru az po backdoor. :-) O updatoch priamo od Mrkvosoftu ani nehovoriac. :-)
Ano, cetl jsem vytahy a nerozumime si, asi jsem to sem nenapsal, protoze me to uz nebavi stale dokola opakovat. Nejsem data centrum, nejsem cloud provider, me to proste nezajima. Pro domaci pocitace a pro bezne firemni klienty je chyba nezneuzitelna. A o to mi jde. Vytvorila se panika, ze vsichni musi updatovat a instalovat Melta patche, kdyz pritom musi "jen" provideri.
Ututlat by znamenalo, ze chybu v Intelu neresili a aktivne se zapojili do snahy to nesdelovat verejnosti.
Oni to s patricnou prioritou resili a meli i dany termin, kdy to verejnosti oznami.
To opravdu neni zadne tutlani. To bys mohl rict, ze se to AMD snazila ututlat. Nesnazila, nemeli ani duvod, slabina neni v jejich systemech minimalne zatim zneuzitelna.
Je videt, ze nebezpeci interpretujeme jinak. Problem Meltdown/Spectre je v moznosti utoku, pokud na pocitaci bezi i jiny (cizi) kod. To se sice nejvice deje u cloudu, ale take se to deje pri prohlizeni dnesniho moderniho webu, kde jsou tuny javascript kodu. Takze bohuzel v nebezpeci je/byl i bezny naivni uzivatel.
Prohlizece jsou nebo budou opatchovane.
V podstate rikas, ze by uzivatel v dobe, kdy se prihlasuje na internetove bankovnictvi, nemel mit spusteniy jiny javaskriptovy kod. V pohode, toho se da docilit pomerne snadno a ja to tak delal vzdycky, takze pro me ok. Nicmene na prevody penez je stejne dvoufaktorova autentizace a ten nekdo by ti zaroven musel nabourat i mobil.
Netvrdim, ze bitcoinove penezenky nejsou v ohrozeni, ale zase stajna pisnicka, ja to nevedu, tudiz nezajem a podobne to furt ma vetsina uzivatelu.
gogo1963: prosim prectete si ty puvodni zpravy: https://meltdownattack.com/ -- jedna se o side-channel attack (safra jak to prelozit) na jiste rysy (spekulativni vykonavani) modernich CPU.
Abyste mohl zautocit, potrebuje vas kod bezet na CPU. Ten kod pak pouzitim velmi zajimavych triku je schopen cist jakoukoli pamet daneho HW systemu. Cili je schopen nejen prekrocit hranice OS ktere klade OS mezi adresni prostory procesu, ale je schopen prekrocit i hranice hypervisoru, tj. dostat se do pameti jine virtualni masiny -- to proto jsou oblacnici tak vyplaseni. Oni na tom maji zalozeny svuj business.
Jak rikam, prectete si ty papiry: https://meltdownattack.com/ a zhodnotte sam...
Muzu potvrdit kgardasuv posledni koment, opravdu je to tak. Taky je to ten duvod, proc se Melta netyka beznych uzivatelu, protoze nejaky zavadny kod by se jim do PC musel nejprve dostat a ve chvili, kdy maji sva PC tak spatne zabezpecena, ze tam neco chytnou, tak uz je zbytecne na to jit tak slozite pres Meltu.
Tohle je jak spravne kgardas poznamenal ciste problem cloud byznysu, nas bezne uzivatelew vubec nemusel zajimat kdyby to Microsoft tvrde neposral.