Hyper Threading v ohrožení kvůli dírám v CPU Intel. Google ho úplně vypne, jinde váhají

80

Když jsme včera psali o bezpečnostních děrách „MDS“ (Fallout, RIDL, ZombieLoad), které byly nalezené v procesorech Intel, zběžně jsme je charakterizovali tak, že mají podobný dopad jako Spectre/Meltdown loni. Ovšem vypadá to, že nakonec by to mohlo být i o něco horší. Chyby jsou asi lépe zneužitelné a zdá se, že kvůli nim řada operačních systémů opatrně zvažuje kompletní vypnutí HT, což by stálo dost výkonu a z dražších procesorů de facto udělalo levnější modely. Tento krok už učinil Google.

Včera jsme o spojitosti s HT psali jen na okraj, protože vypnutí HT plně nezabraňuje zneužití chyb MDS. Zdá se ale, že v podání Intelu tato technologie příliš usnadňuje zneužití či zvyšuje nebezpečnost. Ve svých doporučeních Intel o vypnutí SMT mluví jenom velmi opatrně jako o „další možnosti navíc“, nicméně v benchmarcích ukazujících dopady už má grafy, které ukazují, co vypnutý HT udělá – a Nejen pro servery, ale i pro desktop. Ovšem když některé weby včera psaly, že „Intel radí vypnout HT“, přišlo jim od tiskového oddělení dementi, že až tak dalece zajít Intel oficiálně nedoporučuje. Toto je asi opatření, které by Intel udělal jen velmi nerad. Patrně i proto, že výkonnostní dopad je velký a vypnutí či zapnutí HT Intel používá k odlišení dražších a levnějších CPU. Pokud by tedy kvůli bezpečnosti museli kupující HT vypnout (a degradovat si tím Core i9 na i7, i7 na i5 a tak dále), asi by to mohlo vést k velké nespokojenosti.

Chrome OS: Hyper Threading jde natvrdo pryč

Ovšem na softwarové straně dodavatelé operačních systémů o vypnutí HT ve svých doporučeních mluví, i když to také většinou uvádějí jako „volitelné“ opatření. Ovšem ne všichni. Google totiž oznámil, že kvůli bezpečnosti uživatelů navzdory implikacím pro výkon kompletně deaktivuje HT na počítačích Chromebook/Chromebox, respektive obecně v operačním systému Chrome OS. Bude to tak defaultně ve vydání Chrome OS 74. Chrome OS 75 by měl mít nějaké další ochrany proti chybám MDS, ale nepíše se o tom, že by pak bylo v plánu HT zase zapnout – patrně tedy zůstane deaktivovaný. I za cenu toho, že se výrazně sníží vícevláknový výkon, což Google přiznává.

The decision to disable or enable Hyper-Threading is a security versus performance tradeoff. With Hyper-Threading disabled, Intel CPUs may experience reduced performance, which varies depending on the workload. But, with Hyper-Threading enabled, users could execute code, such as by visiting a website or running an Android app, that exploits MDS to read sensitive memory contents.

Toto není první případ. OpenBSD vypnulo HT už před dávnější dobou v souvislosti s předchozími na HT náchylnými chybami (TLBleedL1TF/Foreshadow). To je nicméně operační systém zaměřený na až paranoidní úroveň bezpečnosti bez ohledu na výkon a dala by se u něj očekávat jistá přehnaná reakce. Tento OS nemíří na standardní servery, natož pak na spotřebitelské zařízení. V případě Chrome OS je situace o dost jiná, protože jde o běžný klientský systém.

Apple: vypněte HT pro úplné zabezpečení

Také Apple uživatelům radí či doporučuje, ovšem ne úplně naplno, vypnutí HT nebo zvážení jeho vypnutí kvůli bezpečnosti. V případě Applu toto doporučení patří těm, kdo provozují počítače „se zvýšeným rizikem nebo spouštějí nedůvěryhodný kód“. V takovém případě Apple uvádí, že pro to, aby byly proti děrám nasazeny všechny dostupné ochrany, je potřeba také vypnout Hyper Threading. Ovšem Apple upozorňuje, že to může stát až 40 % výkon (což je realistické pro vícevláknové aplikace, jednovláknový výkon tím ovšem neutrpí).

Kromě toho má samozřejmě MacOS běžné softwarové (nebo softwarové s použitím funkcí mikrokódu CPU) opravy, které přináší verze Mojave 10.14.5. Mělo by jít o opravy systému i prohlížeče Safari.

mds zranitelnosti logo
Logo zranitelností MDS

Microsoft a Red Hat: „pro maximální ochranu“

Podobné opatrné vyjádření má také Microsoft, který také uvádí, že pro „úplné ochránění“ před některými MDS dírami je nutné vypnout Hyper Threading. Nicméně Microsoft podobně jako Apple nedoporučuje toto opatření plošně.

Opatrně se k této otázce staví i Red Hat. Ten má ve svém doporučení návod, jak vypnout Hyper Threading, ale opět to neuvádí jako akci doporučenou pro každého. I zde je uvedeno, že „některé bezpečnostní problémy vyžadují úplně vypnout SMT [obecné označení pro běh více vláken na jednom jádře CPU], pokud mají být plně ošetřeny.“

Intel Core i7 No Speed Limit
Hyper Threading se původně objevil v Pentiu 4, ale důležitou devizou procesorů Core je od příchodu architektury Nehalem. Takto Intel inzeroval první Core i7 s touto technologií

Je možné, že tato opatření budou zmírněna a vývojáři OS přestanou doporučovat vypnutí HT, až poněkud opadne počáteční chaos po vypršení informačního embarga a také se zdokonalí a odladí softwarové opravy v operačních systémech, hypervizorech a podobných ohrožených programech. Momentálně to ale vypadá, že je důvěra v Hyper Threading otřesena mnohem víc než po loňských zranitelnostech, které se ho rovněž dotýkaly. Tato technologie tak může už natrvalo být vnímána jako riskantní a její deaktivování na serverech se může stát častou věcí.

Doma na PC se asi vyplatí HT nechat zapnutý

To nicméně asi příliš neplatí na uživatelských desktopech a noteboocích. Rozhodnutí Google zaříznout HT v Chrome OS pravda upozorňuje, že ani my s obyčejnými PC nemáme vyhráno. Ale prozatím bych vám spíš doporučil se o výkon/vlákna neokrádat a ponechat na domácích/pracovních PC Hyper Threading zapnutý s tím, že nainstalujete a ponecháte aktivní ostatní opravy (a aktualizace mikrokódu), které váš operační systém/prohlížeč a tak podobně poskytne.

Galerie: Bezpečnostní chyby MDS v procesorech Intel: ZombieLoad, Fallout, RIDL


Hyper Threading v ohrožení kvůli dírám v CPU Intel. Google ho úplně vypne, jinde váhají
Ohodnoťte tento článek!
4.8 (95.24%) 21 hlas/ů

80 KOMENTÁŘE

  1. Začíná toho být nějak moc. Doufal jsem, že s Haswellem přečkám ještě pár generací, ale s každou další ďourou víc a víc pokukuji po Zenu. A nevím, co Google plaší, pochybuji, že ten systém někdo používá na výkonném HW, nebo že si jeho uživatelé myslí jaký supr bezpečný OS mají. Ledaže by ho povinně používal management Googlu, pak bych tu paniku chápal.

    • a copak se ti stalo s tím Haswellem, když pokukuješ jinde? Pokud chybí výkon, pak jasně, proč ne i Zen, ale s těmi “dírami” … pokud jsi normální, nemáš problém, pokud nejsi, žádná změna hw ti nepomůže …

      • Co je normalniho na tom, nechodit na internet. Vem si treba Cnews, jako s tim co tady bylo jenom v posledni dobe, kdy jim tady ten vyvojar, ktery se jim o web stara, nechal takovych chyb, ze sem pomalu neslo chodit a opravy mu trvaly mesic, tak jaka je sance, ze tam ten vyvojar nechal chybu, kterou muze nejaky hacker vyuzit a prorazit mi az ke mne domu na PC?

        Jako ja myslim, ze v souvislosti s cim dal vetsim mnozstvim Melta chyb, je ta sance uz docela velika.

        Nebudu na svem Haswellu nic vypinat, ale taky zacinam pokukovat po RyZenu 3000 ikdyz nepotrebuju vic vykonu, ciste kvuli bezpecnosti.

        Co me stve, ze jsem Haswellovy PC chtel prenechat rodicum, ale ted to vypada, ze jim radsi koupim APU RyZen nez davat PC s deravym procesorem od Intelu.

        • k tomu aby se hacker “dostal az k tobe domu” nepotrebuje zranitelnosti v procesorech. k tomu mu staci zranitelnosti v browserech, flashi, jave, javascriptu a operacnim systemu. tyto chyby jsou hackerum zname, jsou rychle a efektivni. a jakmile je uvnitr, opet se na nejake prohledavani pameti muze vykaslat, a pujde rovnou ke zdroji dat, stejnym zpusobem.

        • “Haswellovy PC chtel prenechat rodicum …radsi koupim APU RyZen nez davat PC s deravym procesorem”

          @Redmarx tento tvoj dôvod kúpy nového PC pre rodičov mi pripomenul keď som raz z nudy zavítal na stránku typu “skutocnapravda.org” a 8 z 10 komentárov v diskusiách bolo o tom ako sa diskutujúci experti, tý čo prekukli systém a dokonca aj zástupkyne nežného pohlavia vzájomne presviedčali o tom ako ich konkrétne neustále sleduje a sabotuje CIA, FBI, KGB, MI6, Mosad… a aj v tom že im napríklad na 2 hodinky vypadol internet videli JASNU !!! snahu umlčať ich.

          …pochopiteľne, každý racionálne a zdravo uvažujúci človek sa nad takýmto zmýšľaním zo strany nejakého bezvýznamného písalka zo slovenského internetu len pousmeje.

          Redmarx ako sorry, ale tvoji rodičia sú pre potencionálneho útočníka rovnako zaujímavý ako pre FBI nejaký Jano z Oščadnice čo zaručne odhalil pravdu o Reptiliánoch a Chemtrails.

          • No není to úplně pravda, protože věci jako údaje kreditek/přístupové údaje se kradou ve velkém a pak prodávají v podstatě na váhu, takže tady nejde o to, že by se na toho obyčejnýho člověka někdo zaměřil, ale že se může nachomýtnout jako oběť k masovým/automatizovaným neadresným útokům. Ransomware taky většinou útočí masově naslepo. Ty pravděpodobně budou nejčastěji phishing a tak a potom asi s použitím nějakým obyčejných SW děr, ale nikdy nevíš, jestli se někde v javascriptu neobjeví i tohle, takže je lepší mít to zabezpečení.

            Ale zabezpečením myslím záplaty/aktualizace a tak, HT bych nevypínal a procesorů se nezbavoval.

        • Redmarxi..IMHO tenhle druh chyb nejspis prozatim neni az tak kriticky pro ‘domaciho uzivatele’ dokud z toho nepujde spoustet nebo nahravat dalsi spustitelne soubory. Jde o to, co by u tebe na domacim pocitaci z toho mel. Bitcoiny? Hesla do nejakych dalsich sluzeb? Mozna online banking? Co by z toho mel..ale taky to neznamena, ze proto nenajdou vyuziti zitra..
          Spis to bude zajimave pro cilene utoky na bussines sferu, celebrity, vojenske a statni instituce..
          Aspon zatim to tak vypada, ale treba jsem neco opomenul..

          • Tak internet banking se pouziva vsude a napriklad Komercni banka jela az doted na sifrovacich tokenech, tudiz tam zneuziti realne hrozi. A protoze to vypada, ze zneuzit tyto nove chyby bude dost jednoduche, tak si dokazu predstavit, ze hackeri pujdou prave po tech obycejnych lidech, protoze maji obvykle pocitac nedstatecne zabezpeceny a budou snadnou obeti.

            • haha hahahahaha … opravdu … tebe číst, to je za trest .,.. co by si na tobě kdo vzal? Ani to lejno ne …

            • redmarxi, kdeska se sifruje uplne vsechno. zaplatovani a ochrana je spatne jako vzdy. hackuje se a krade jako vzdy. a stejne tu dosud nemam zadne zneuziti. vem do hrsti ten hrasek co ti zbyl z mozku a premejslej chvili proc.

          • To bych urite nerekl. Pokud je nekdo admin, tak se musi z principu zajimat o vsechny druhy zrantelnosti, at SW nebo HW, ktere mu tam bezi. Ono tech stroju s AMD pribyva a pribyvat bude, jak vyplyva i z nedavno uvedenych podilu vyrobcu…zatim se jevi ta jejich architektura blbovzdornejsi nez Intelu. Kdo vi co bude za mesic..

            • však se dočkáš, jen co se AMD přehoupne přes 50% trhu … jsem pak zvědavý na ty “chytré” komentáře (nemyslím od tebe)… a ne, nic se nejeví, na tomhle příkladě je vidět, o co se zajímají top hackeři … o Redmarxe na 100% ne, o mě detto …sám jsi ty sféry popsal docela přesně …

          • Jaky nepohodlny “fakt” mas na mysli Hnizdile, muzes byt konkretni?
            Myslis tu upornou smesnou snahu, kterou vyvijis at tady nebo na jinem webu, ze jako “o nic zvlastniho nejde” a ze admini si jenom rozsiri kolonku o dalsi “diru”…

            • myslim ten holy fakt, ze se zadne z dosud uvedenych cpu zranitelnosti nevyuziva v praxi. s tim tvoje uporna smesna snaha z toho delat aferu nehne.

            • “myslim ten holy fakt, ze se zadne z dosud uvedenych cpu zranitelnosti nevyuziva v praxi. ”
              ..rekl Hnizdilko, protoze to je sef vsech hackeru a ten to preci musi vedet :))))
              Jen pro tvou informaci hnizdile..vetsina firem ani neuvadi to, kdyz se jim nekdo naboura do systemu. Zazil jsem to v predchozich firmach, kde krome admina (kdyz na to vubec prijde) a par lidi + vedeni, tak se to nikam dal neroztrubuje…takze tvoje predstava o tom, ze protoze TY NEVIS, ze to nekdo nekde zneuzil, znamena, ze se to NEKDE NEZNEUZILO. Ale aspon jsi konzistentni ve svych hloupouckych “nazorech” :))
              Samozrejme, pokud by to byl problem AMD, tak urcite uz nekdo vysosal minimalne TeraByte dat…

  2. “V případě Chrome OS je situace o dost jiná, protože jde o běžný klientský systém.”
    I běžným klientským systémem je možné se hlásit k důležitým aplikacím (serverům), hrozbu bych nepodceňoval zvlášť u takového jehož použití stojí na webovém obsahu.

  3. Ten Intel má furt nějaký problém nechápu už téhle chyby někdo zneužil? i7-4790K mám už od roku 2014 a dokud Intel nezačal tyhle blbosti řešit tak všechno bylo v pohodě teď chce aby se všechno co dává nějaký výkon vypínalo jim nestačí že procesor zpomalily opravami těch dvou hovadin ale ještě další zpomalení mám podstoupit? Už to začíná být trapné a asi se opravdu zase vrátím k AMD. PS: jak se nám žilo dobře než Intel začal dělat takový humbuk napřed jsem si myslel že to dělá schválně aby si lidi kupovali ty novější a předražené procesory ale jak tak koukám oni už to převedli i na ty předražený tak nevím co tím sleduje.

    • Je to chyba a navic se realne lidi dotyka. To riziko je tentokrat velke a zavirat oci pred nim nema cenu. To je jako kdyz Rusaci neverili tomu, ze jim bouchnul Cernobyl, ikdyz videli, ze jim to tam hori. Ale proste to bouchlo, tady to taky bouchlo a je jen otazkou casu, kdy to vitr muze zavanout i k tobe.

      Pres Javascript je ta sance na zneuziti jednodussi nez zkouset jine cesty, jak proniknout do neciho PC.

      A mimochodem pro vsechny: Napriklad ten vir co zasifroval lidem pocitace byl realnej a tohle muze taky hodne zaskodit, pokud to lidi budou ignorovat.

  4. Tak jo, pan redaktor a Redmarx se chytli za ruku a stylem na hrane sireni poplasne zpravy opet troli Intel. Tak panove, vsichni mame ve svem okoli stovky uzivatelu s PC a dle statistik bude minimalne 2/3 z nich vybaveno procesorem Intel. Ve svete jsou stamiliony kusu, v nasem malem rybnicku (CR) statisice, v mem okoli stovky (uzivatle, firmy se kterymi spolupracujeme, vcetne statnich). Prestoze se bububu dela v tomto smeru jiz nekolik let, neslysel jsem o JEDINEM pripade zneuziti techto “ultranebezpecnych” der. Proc stale dokola strasite? No, vlastne, ja bych vedel… Uvedomte si, prosim, kolik bezpecnostnich chyb bylo nalzeno ve Windows vsech generaci, prohlizecich, firmwarech routeru atd. atd. Uz vubec nezminuju, ze 3/4 vesnicanu (mrk mrk Tombo) stejne pouzivaji hesla 123456 apod. Ale ne, hruza a des jde z Intelu, to je totiz jedina a opravdova hrozba pro vase PC s ocrackovanyma Officema, Antivirem, Windows a i par hrama, co vysly exkluzivne na Epicu, takze si ten crack oduvodnite i u nich (mrk mrk Redmarx). Ne, tenhle web jde vazne do kopru, kouknete jen na titulky (o CPU) z poslednich par tydnu a napiste si je pod sebe. Jednostranna oslava AMD (opravdova tresnicka je pak tech 55 % oproti Intelu) a dehonestace Intel. DD blog 2. O diskuzich uz snad ani nemluve. Stale dokola stejna jmena i prispevky HW odborniku jako je “Tohle si nekoupim, to si muze koupit jen blbec” Redmarx a “Vsichni jsou bukvice” Tombo

    • Fakt musím být házenej do stejnýho pytle?
      Přijde mi, že tu v komentářích jsou dva druhy, a oba extrémní: půlka tvrdí, jak je třeba všechny CPU Intel vyhodit a apokalypsa (RedMarx), druhá půlka že se absolutně nic neděje a nikdy dít nebude a ať si všichni ty opravy deaktivujou, protože přece nehorázný aby to stálo výkon (vy). A ideálně si ještě jedna strana těm druhejm zanadává do pitomců 🙂

      Pravda je přece evidentně někde mezi, tj. že se nemá panikařit, ale ty opravy by se měly nainstalovat. Bezpečnost v počítačích je o tom, udělat to, co se udělat dá a neriskovat. Různých zranitelností se denně objevuje spoustu, ale to přece neznamená, že na jednu konkrétní, co se mi nelíbí, můžu kašlat, protože “jsou i jiný tak co”.

      • V poho, ale takhle ty Vaše články a zejména příspěvky v diskuzích nevyznívají. Nikde nikdy jsem od Vás nečetl, že procento realné zneužitelnosti se blíží 0, nebo, že nevíte o jediném zaznamenaném připadu ve svém okolí, ba ani že žadné zahraniční weby nikdy nehovořily o žádném konkrétním případu atp. Subjektivně mám z Vašich úvah a prognóz pocit, že se blížíte skupině č. 1, kdy jaksi nevyvažujete šířené apokalyptické informace, ale spíš do onoho ohně paniky malinko přiléváte benzín 😉 Btw 15.5. článek Intel a díry, 16.5. článek Intel a díry vs. HT. Obávám se, co za díry přijde zítra 😉

        • Tak to mám pocit, že tam čtete něco jinýho, než je v tom samotným textu.

          Co se týká článků, tak vybírám to, co jsou nejpodstatnější a/nebo nejatratkivnější zprávy, IMHO, takže ta skladba je holt daná tím, co se děje tam venku ve světě.

          Třeba u těch různejch úniků o Ryzenech je teď hodně, tak je holt hodně zpráv. Kdežto o Nviidi neuniká nic, takže málo zpráv. Některý ty ryzenodrby bych i normálně ignoroval (třeba naposled to o tom teoreticky možném vyšším OC Ryzenů 3000). Ale je o to podle čísel čtenosti hroznej zájem, tyhle věci se četly víc než ty o dost hodnotnější a rozsáhlejší informace, co Intel teď vypustil k 10nm/7nm procesu a CPU 🙁
          (Ale je to tak, že zatímco tu první kategorii “blbost ale atraktivní” jsem ochotnej kvůli čtenosti napsat, tak tu druhou kategorii důležitých ale míň čtených kvůli čtenosti nebudu ignorovat, to se snažím nikdy nevynechávat.)

            • Až tu napíšeš jediný článek splňující odbornou úroveň, posbíráš všechny informace a roztřídíš, objektivně zhodnotíš, tak pak se můžeš do páně Olšana obout. Dřív ne.
              To, že tu nevyhodnocuje závažnost chyby, nepíše, že kdo v jeho okolí byl napaden, svědčí o jeho objektivitě a seriozní novinářské práci. Tyhle informace nemá a pokud by je měl, tak ne v dostatečně velkém statistickém objemu, takže se zdržuje dohadů a domněnek. A nešíří nepodložené zprávy.
              Je na vkusu každého soudruha, jak si informace přechroustá.
              Lamy a panikáři okamžitě vyhodí Intel, defétisti propadnou zmaru, beznaději a zoufalství, optimisté si myslí, že to na ně nepadne a realisté po zhodnocení pro a proti počkají na záplaty, protože to je asi tak všechno, co se s tím dá dělat.

            • sariku, ac s vetsinou komentare souhlasim, tak jedno je jiste.
              ZAPLATY NEBUDOU!
              Prosim, precti si to kolikrat potrebujes, ale toto je bohuzel naprosta jistota. Neexistuje 100% zaplata na Spektre ani Meltdown, neexistuje zadna zaplata na tydny stary Spoiler a nebudou ani 100% zaplaty na Fallout, RIDL, ZombieLoad. Budeme radi, kdyz se dockame nejakych zaplat. Nemluve o tom, ze zaplaty, ktere znehodnoti procesory vykonem o 50% nizsim nez dosud, jsou totalne k nicemu a takove procesory jsou stejne zrale na vymenu!

            • @Redmarx
              Meltdown je opatchovaný plně. Že se objeví nějký nový útok, který tu zranitelnost obnoví je už spíš další slabina a další CVE, i když to může mít společné počátky. Pravděpodobně se to zase na straně OS nějak ochrání.

              Tyhle MDS díry IMHO eventuálně budou rozumně zalátaké v softwaru, minimálně časem, i kdyby to teď hned nefungovalo 100%. Ty záplaty se můžou vyvíjet.

              Spectre V1 a V2 například vždycky budou potřebovat softwarové záplatování a tím, že je nutné, aby ty ochranné sekvence programátor aktivně všude vkládal, je vždycky možnost, že to nebude 100% těsné.
              A Spectre v1/2 nemá jenom Intel, ale všechny CPU, včetně AMD, včetně Power, včetně ARM.

            • Šariku, s dovolenim si budu subjektivně hodnotit objektivitu autora kdekoliv a kdykoliv i bez Tvych podminek. Rika se tomu demokracie. Btw, jak dlouho vy “realiste” jeste budete cekat na vysledky a statstiky? Jak dlouho jsou tu diry Intel? Jaktoze za tak extremne dlouhou dobu nejsou novinarum k dispozici statistiky zejmena poctu uskutecnenych napadeni? Jaktoze se o techto napadenich zpusobenych Intel dirami NIKDE, ani v hate diskuzich, nepise? Odpovim si sam a budu se opakovat – Realne ohrozeni se blizi 0, fakticky napadenych subjektu bylo rovnez +- 0… proto nejsou ani zadne statistiky ani informace o napadenich. Snadne. Bohuzel toto zde nikde nebylo zmineno a proto povazuji dva posledni clanky J. O. za informacne nevyvazene. A priste prosim bez te dikce a gestapackych manyru, co kdo muze a nemuze. To si zkousej doma na starou.

            • No ale nezapomínejte na to, že se investovala spousta prostředků do opatchování těch problémů, takže je trošku absurdní se zlobit, že se přece “nic neděje”. I existence patchů ostatně působí na hackery jako odrazení , ale to znamená, že plní svojí roli, ne že jsou zbytečné.

              Mimochodem už nějaký měsíc po publikaci registrovaly AV firmy nějaké pokusy s těmi proof of concept útoky, pokud si vzpomínám. Ale holt to asi nikoho tak moc nezajímá, když už je to vyřešený problém, proti kterému jsou patche.

            • @dragonie
              “Šariku, s dovolenim si budu subjektivně hodnotit objektivitu autora kdekoliv a kdykoliv i bez Tvych podminek. Rika se tomu demokracie.”

              Jak se nám ten význam slov mění. Já ještě pamatuju dobu, kdy demokracie znamenala “vládu lidu”. Kde se to zastaví?

            • Jan Olšan 16.5.2019 at 19:45 “Mimochodem už nějaký měsíc po publikaci registrovaly AV firmy nějaké pokusy s těmi proof of concept útoky” zdroj?

            • @SIMI, než začneš rozdávat moudra, přečti si něco od Erica Barendta, zejména pak Freedom of Speech z roku 2007. Dozvíš se mj., že demokracie a svoboda slova jsou zcela nerozlučně spojené nádoby, kdy jedno bez druhého nemůže funkčně existovat.

            • @Hnizdo
              Pamatuju si, že jsem to tom psal, bude to někde v našem archivu tak únor-březen 2018 (zkuste tag bezpečnost), nebo hledání (Meltdown/Spectre?)

      • Zrovna ty neco rikej. Kolikrat jsem sem psal, ze Spektru a meltu moc prozivate, protoze se domacich PC netyka a nebezpeci vznika hlavne v datacentrech (a) na virtualizovanych masinach. Porad jsi to nechtel slyset. A este jste mi tu psali, jak situaci zlehcuju, ze je vazna.

        No a ted je to presne opacne, situaci tu zlehcujes, kdyz pritom ted se to tyka vsech a situace je vyslovena tragedie, napadeno muze byt cokoli kdykoli. Odpojit se od internetu nebo vyhodit Intely jsou jedinne mozne reseni.

      • Vzhledem k tomu jak rychle opravy vznikají a vzhledem k utajování jež je provází ruku v ruce s omezeným testovacím rámcem bych si tipnul, že integrál rizika bude větší z jejich plošného (nedobrovolného) nasazení, než z jejich ignorování.

        “Pro bezpečnost nestačí učinit maximum, je nutné učinit dost.” 😉

      • Já informace rád, ale nebaví mě jednostranné informace. Přitom se to dá napsat relativně snadno a pochopitelně: Hypoteticky hrozí tohle a tohle, v praxi za xy měsíců bylo zaznamenáno xy případů, což je xy procent z množství prodaných předmětných CPU, takže žádnou paniku. A nikdo by nemohl říct ani “gogo” 😉

        • To by bylo zavádějící, protože A) jsme v dnu 1 po odhalení a riziko je logicky hlavně do budoucna (tj. to je jako chlubit se, že se v autě XX nikdo nezabil, tak moc je bezepčené, v den, kdy začaly prodeje) B) útok nezanechává stopy, takže teoreticky nemusel být zachycen…

          Kromě toho jsem tam v těch článcích všude psal, že pro domácího uživatele to není zas tak velké riziko.
          Jenom jsem si dovolil napsat, že lidi nemají ignorovat patche těch chyb, což je v éře IT moudrostí ve stylu “první co udělejte je, že zakažte Windows Update” něco, co prostě musím připomínat.

          • J.O. Tak já pochopitelně psal o starých dírách, se kterými se taky strašilo dlouhé měsíce a nic, že… což právě nikde nezmiňujete.

            Ifkopifko, kouzlo je v tom, že těch útoků bylo pravděpodobně všehovšudy kolem 0 %. Je to ma spekulace, ale když vidim nevrazivost mezi obema tabory, vsadim boty, ze jakekoliv uspesne zneuziti diry u zleho Intelu by okamzite zaplavilo dskuze a clanky rudych spriznenych webu po celem svete. Proste, mam pocit, ze z hypoteticke hrozby se dela hrozba realna a pak se toho chytnou pacienti jako Redmarx, kteri zaplavuji svymi smyslenymi nesmysly web a diskuze, ktere pak ctou i veci neznali lide… a panika zachvati i je a uzvto bezi. Intel ma diru, tato, prijdeme o prachy na kreditce z Tesca… A o to asi spousta lidem jde, za kazdou cenu protlacit AMD, i za cenu hypu pseudohrozeb. Btw, muj dalsi procesor pravdepodobne bude taky AMD (pokud se dostanou k +- 4.5 Ghz na vsech jadrech), ale to nic nemeni na tom, ze budu snaset tyhle jednostranne bludy na tu nebo onu stranu.

            • Klidne se fanousci Intelu vztekejte jak chcete, ja si napsal svoje a doufam, ze to v uzivatelich neco zanecha.
              Jen jedno prosim, NELZETE tady neustale o nejakem fanouskovstvi k AMD a lzi, ze je to snad soucast konkurencniho boje si nechte prosim od cesty.

              AMD s tema chybama nema nic spolecneho, na chyby se prislo na Nizozemske universite a ten vriskot Intelu a jeho vernych uz sam o sobe naznacuje, jak moc je to vazne.

              A uplne posledni vec: Nejsem fanousek AMD, nikdy jsem doma AMD procesor nemel. Moje PC: Intel Pentium 200MMX, Celeron 350MHz, Pentium 3 Coppermine, Celeron 3 Tualatin, Pentium 4 Northwood, Pentium 4 Prescott, Core2Duo, Core2Quad, Core i7-950, Core i3-3220T, Xeon E3-1231v3, Core i7-6700.

              Muj pristi procesor bude AMD RyZen!

            • dragonie> Ako píšeš, sú to len tvoje nepodložené špekulácie. Chceš však aby boli uvádzané ako fakt… V záujme nejednostrannosti a objektivity samozrejme. “palecnahoru”

            • Ifko – naopak, ja bych chtel, kdyz uz nekdo pise ve 2 dnech 2 clanky na toto tema, aby tato fakta dohledal a uvedl. Ale bohuzel se stale jen opakuje hypoteticke bububu, kdezto realne dopady jsou i po mnoha a mnoha mesicich nezname. Bud ma Intel vymazavac pameti jako v MIB a po kazdem utoku to na uzivatele pouzije, nebo ty utoky proste nejsou. A k tem mym spekulacim, opravdu si myslis, ze pokud by takove utoky, zapricinene Intel dirami, existovaly, ze by o tom nikdo nevedel, ze by o tom nikdo v diskuzich nebo na HW webech po svete nepsal? Nepise o tom NIKDO, protoze za celou tu dobu NIKDO napaden nebyl. Jediny kdo byl napaden, je Redmarx, a to v rannem detstvi nejspise uderem tupym predmetem do oblasti lebecni. Za tim si po dnesnich jeho prispevcich rovnez stojim.

            • Proste NIKDO :))
              Proste kdyby nekdo napaden byl, tak se o tom pise nejspis..proste expert Dragonie v akci…clovek, ktery nejspis nenapsal v zivote radek kodu..proste NIKDO :))
              Proste hackeri zapominaji posilat hacknute uzivatele do database a tak Dragonie v tom ma jasno..proste NIKDO :))

            • Ono te asi nikdy nenapdalo, existuji cilene utoky, o kterych se nepise, ze asi budou lidi, co toho vedi Xkrat vic nez ty nebo ja nebo nejaky cnews ohledne takovych veci dohromady a ze to o cem se pak pise, to jsou uz jen veci, ktere vyplavali nekde na povrch..to ze pod tim povrchem je toho mnohem vic o cem media nevedi, to by jsi si mohl aspon domyslet..tuids psat o necem jako ze “NIKDO” … ano nikdo, o kom ty jsi slysel, to je asi tak jednine “nikdo”.

            • Tombo, nemel zase z hladu a rekni mi teda KDO? KDO za tech XY mesicu byl napaden diky diram v Intel procesorech? Zase jen trolis, informacni hodnota nulova, cisla zadne. Meritum meho prispevku je jasne (vsem krome Tebe, jako obvykle), ze hypoteticka zneuzitelnost se zcela evidentne za celou tu dlouhou dobu v praxi nijak, popripade nijak vyznamne neporjevila. Takze ty tve nic nerikajici zkomoleniny fakt nechapu a zrovna si nadavam, ze jsem se opet nechal nachytat a odpovidam ti.

            • Tisice diskuzi, stovky odbornych webu, net plny trolu, jako jsi Ty a nikde nic. Nikdo nebreci ze mu nekdo diky zlemu Intelu napadl pocitac, prestoze se “problemovych” CPU prodaly miliony kusu…btw Intel bezproblemove jede v armade, zdravotnictvi, silovych rezortech, poste zkratka ve vsech klicovych institucich statu (vim o cem mluvim, narozdil od Tebe), ale mistnich makaku kral ma jasno, “pod povrchem je toho mnohem vic”. Lol, cloveku je te nekdy az lito…

            • tombomino 16.5.2019 at 22:52 antivirove spolecnosti vedi pomerne presne, co beha tam venku. zadna bezpecnostni spolecnost, ani statni orgnanizace jako prestizni nemecky BSI a NCA nevydaly v tomto ohledu zadne varovani ani doporuceni. Coz jinak bezne cini. Cili cokoliv jineho, nez prosty fakt ze se zatim zadne z cpu zranitelnosti nevyuzivaji v praxi, je nicim nepodlozena spekulace.

            • Dragonie: Chyby reálně zneužity byly. Díky nim se povedlo prolomit spousty DRM ochran a dostat tak třeba 4k filmy z Neflixu v plné kvalitě.
              Že jste o tom nikdy neslyšel, neznamená, že to neexistuje.

              A koho se to týká? Vzhledem k možnosti zneužití javascriptem zejména těch, kdo na svých stanicích pouštějí nedůvěryhodný kód. Což překvapivě ve většině případů nejsou servery, protože tam beží jen to, co tam běžet má, ale naopak právě běžní uživatelé, kteří používají nejen webový prohlížeč s javascriptem, ale také různé cracknuté hry nebo free věci pochybných kvalit.
              A pak se to samozřejmě týká virtualizace, kde je to megaprůser. U VPS to není zásadní změna (doteď jste stejně musel věřit neznámému hypervizoru), ale pokud máte vlastní virtualizační cluster a na něm spoustu aplikačních virtuálů od různých firem… a jedna firma může do jiné… pro státní databáze je to průser jako hrom. A neřeší se to.

              Security trough obscurity je už dávno zavržená věc. To, že jste chybu nalezl vy, totiž znamená, že ji může nalézt i kdokoli jiný, a pravděpodobně i nalezl. Vizte Conficker.

            • Sinuhet, pokud je to pravda, predpokladam, ze Netflix a dalsi “spousta DRM ochran” se ted s Intelem soudi a chteji nahradu skody za zneuziti bezpecnostni diry v jeho procesorech. Je mi tedy jen zahadou, proc se o tom vsude mlci, pokud se to tyka i gigantu typu Netflix. Kdyz clovek vidi, jak rychle se tehda rozkrikly napr. zpravy o chybnych baterkach Samsung Note apod, zustava mu rozum stat nad tim, ze o Intel dirach a jejich faktickych zneuzitich neni nikde ani slovo. Poprosil bych jeste o nejake zdroje, aby bylo zrejme, co kdo vlastne zneuzil, dekuji.

            • Hnizdile, tvuj komentar dava asi tolik smysl, jako tvrdit, ze pro zapis na referecncni listinu musi mit projekt maintance smlouvu..cili jen dalsi tvoje hovezina do poctu. Vic nema smysl komentovat, protoze stejne z tebe nic rozumneho nevyleze..

  5. Tieto chyby sú fakt otrava, ale nič extra. Proste zbytočná práca naviac pre správcu / admina vo firmách. Inak to samozrejme beriem ako fail pre intel. Doma to však vôbec neriešim, nemám čo stratiť, len ten “výkon” po oprave.