下面中文看不懂啊 瞄了眼美股
今天盘前价→开盘
INTEL跌幅收窄
AMD涨幅收窄
会玩 四点 发表于 2018-1-3 22:01
在公开之前呢?
1、白帽子在一年前发现的,但是在找到解决方法前没说。
2、黑帽子在几年前发现的,偷偷用一直没说。
3、英特尔20年前的后门,偷偷用一直没说。 一夜回到解放前的感觉,这酸爽。
—— 来自 Sony F5321, Android 7.1.1上的 S1Next-鹅版 v1.3.2.1-fix-play 才入iU一年不到,就弄这么一出,早知还是继续用amd了
—— 来自 Google Pixel, Android 8.1.0上的 S1Next-鹅版 v1.3.2.1-fix-play 人生如戏 发表于 2018-1-4 00:18
才入iU一年不到,就弄这么一出,早知还是继续用amd了
—— 来自 Google Pixel, Android 8.1.0上的...
如果你“早知”的话
你很大概率躲不过ryzen的seg fault https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
天了撸
大概是处理器架构届几十年来最大的新闻咯
Google人类希望发现了2种漏洞,是设计缺陷,影响波及所有,记住是所有,Intel/AMD/ARM处理器。。。 本帖最后由 eroneko 于 2018-1-4 07:31 编辑
还是主楼那个链接里后续更新的,经过测试 17063(已经应用补丁了) 上的 iU(7700K) 性能(应用,游戏,SSD)相比之下并没有受到很大影响。
—— 来自 LGE LG-US996, Android 7.0上的 S1Next-鹅版 v1.3.2.1-fix-play 四点 发表于 2018-01-03 22:00:49
那只是linux游戏性能几乎不受影响
linux游戏性能本来就呵呵
-- 来自 能看大图的 Stage1官方 iOS客户端 截至目前各家云的反应:
微软azure宣布将在1月5号批量重启
亚马逊aws宣布将在本周五发布重大安全更新但未披露细节
阿里云宣布1月12日修复,热修复为主,但不排除可能重启部分用户实例
-- 来自 有消息提醒的 Stage1官方 iOS客户端 rentrody 发表于 2018-01-03 20:07:16
所以说这个漏洞的利用方式都有哪些?真的能通过网页JS攻击?浏览器本身也防御不了? ...都能从虚拟机里的js一路打穿到宿主机的系统了 区区浏览器算啥
-- 来自 能手机投票的 Stage1官方 iOS客户端 迫不及待想看打上补丁后实际使用会有多大区别 看了一下google的博客,那个叫做Spectre的漏洞的攻击原理是利用了处理器的分支预测和投机推测执行
大致原理:
1.处理器会在一些条件分枝,比如if else不成立的情况下,先执行其中的代码,如果事后发现条件不成立,再把结果丢弃
2.这个攻击就是利用这个特性,在处理弃来不及判断分枝是否的合法的情况下执行了分枝的内部代码(这部分代码是攻击者设计好的,目的是读取越界的内存的内容),结果是造成一部分数据被l1 cache给缓存起来,然后之后通过对于这部分数据的访问时间的差别,来推测到底是那一部分数据被缓存了,然后再由此逆向出越界读取的内存的内容。
除非intel从硬件上消除这种行为,也就是分支预测+推测执行会在l1 cache留下副作用的行为,这个漏洞应该是无法被软件fix的。
google不愧是人类希望。。。这都能发现,牛逼 对了,这个叫做spectre的bug应该会影响所有的现行处理器,有人已经设计出来一段javascript来来泄漏宿主内存的内容了,而且没法用软件fix。
软工的末日到咯,23333 mimighost 发表于 2018-1-4 08:02
看了一下google的博客,那个叫做Spectre的漏洞的攻击原理是利用了处理器的分支预测和投机推测执行
大致原 ...
或者预测的时候尊重下权限,在ring3的时候不要去碰ring0的代码 threefcata 发表于 2018-1-4 08:37
或者预测的时候尊重下权限,在ring3的时候不要去碰ring0的代码
这个和那个没关系,属于理论级别的bug。挺严重的
RE: intel所有CPU都有严重的漏洞?linux已经出补丁了性能损失5-50%
mimighost 发表于 2018-1-4 08:02看了一下google的博客,那个叫做Spectre的漏洞的攻击原理是利用了处理器的分支预测和投机推测执行
大致原 ...
这原理波及不到老奔腾吧,奔3(amd那边是k10)开始才有预测时可以进行访存操作的机制,之前预测的只能先做寄存器部分。 mimighost 发表于 2018-1-4 08:41
这个和那个没关系,属于理论级别的bug。挺严重的
没那么严重,AMD不受影响就是因为考虑了权限 本帖最后由 星空天神 于 2018-1-4 08:53 编辑
mimighost 发表于 2018-1-4 08:02
看了一下google的博客,那个叫做Spectre的漏洞的攻击原理是利用了处理器的分支预测和投机推测执行
大致原 ...
这和google有关系吗 不是他发现的吧 intel的叫meltdown
Although both attacks are based on the same general principle, Meltdown allows malicious programs to gain access to higher-privileged parts of a computer's memory, while Spectre steals data from the memory of other applications running on a machine. And while the researchers say that Meltdown is limited to Intel chips, they say that they've verified Spectre attacks on AMD and ARM processors, as well.
—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.3.2.1-fix-play 本帖最后由 shahito 于 2018-1-4 09:28 编辑
现在公布的信息以及越来越多了,而且现在变种好像很多。前几页很多猜想的内容可能都是错的。
google zero 组发现了这个问题,然后发文章说 intel、amd、arm 三家都有收到影响,他们发现了三种攻击的方法。
然后还有一个另一个实验小组也同时发现了这样的问题,有两种,其中一个叫Meltdown (用于用户应用和系统之间的隔离的攻击),确定intel受到影响 (since 1995 except Intel Itanium and Intel Atom before 2013),但是还不确定amd和arm受不受到影响。还有一个叫Spectre(用于用户应用之间的隔离的攻击),确定所有的现代的cpu都受到影响。
然后google对了下,说他们发现的3种分别是Spectre (变体1 and 2),Meltdown (变体3)。
编辑:刚刚修复了一些错误的内容。
threefcata 发表于 2018-1-4 08:48
没那么严重,AMD不受影响就是因为考虑了权限
现在发现的bug有两个
1.叫做Meltdown(崩溃),目前只存在于intel的处理器和部分arm处理器,amd不受影响
2.叫做Spectre(幽灵),存在于一切有乱序执行的现代处理器架构里面,当然包括amd。乱序执行已经是现代处理器设计不可或缺的一个组件了。但是这个bug需要在宿主的电脑里面主动运行,无法形成有效的攻击,除非你下载和安装攻击者的代码,还要在同一个进程里面才能获取到想要的信息。这个bug,从另一个方面,对于浏览器影响巨大,因为javascript的存在,目前不知道这个能怎么修复,hacker news有人猜想是在jit代码里面安插额外指令来强迫顺序执行,这样会影响性能,而且并不能完全消除bug,只能让bug的出现变得更困难。 本帖最后由 mimighost 于 2018-1-4 08:59 编辑
星空天神 发表于 2018-1-4 08:49
这和google有关系吗 不是他发现的吧 intel的叫meltdown
Although both attacks are based on the same g ...
是google内部的精英黑客小组发现的,叫做project zero
零计划,改变世界的重大秘密
真中二。。。lol
星空天神 发表于 2018-1-4 08:49
这和google有关系吗 不是他发现的吧 intel的叫meltdown
Although both attacks are based on the same g ...
有很多小组差不多同时发现这些问题。 creymorgan 发表于 2018-1-4 08:41
这原理波及不到老奔腾吧,奔3(amd那边是k10)开始才有预测时可以进行访存操作的机制,之前预测的只能先 ...
那些已经不算现代处理器了,20多年了。 mimighost 发表于 2018-1-4 08:58
是google内部的精英黑客小组发现的,叫做project zero
零计划,改变世界的重大秘密
真中二。。。lol
我只看到google跟进 并没有说谁想先发现的
Linux developers have already released a fix, apparently based on a paperrecommending deep changes to operating systems known as KAISER, released earlier this year by researchers at the Graz University of Technology
更像是这个大学发现的 linux花了几个月搞补丁 然后漏洞才被公开
—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.3.2.1-fix-play 星空天神 发表于 2018-1-4 09:08
我只看到google跟进 并没有说谁想先发现的
Linux developers have already released a fix, apparently b ...
据说是互相独立发现的
After reporting the results here, we were informed that our work
partly overlaps the results of independent work done at Google’s
Project Zero
RE: intel所有CPU都有严重的漏洞?linux已经出补丁了性能损失5-50%
mimighost 发表于 2018-1-4 09:10据说是互相独立发现的
存在时间那么长的漏洞你说同时独立发现我是不信的呀,估计是一群人玩几年了发现一个不识趣的想公开于是一起公开了。 mimighost 发表于 2018-1-4 08:56
现在发现的bug有两个
1.叫做Meltdown(崩溃),目前只存在于intel的处理器和部分arm处理器,amd不受影响
之前没看到spectre。。但同一个进程这个……虽然它是google发的paper不过这种假设太强的“攻击”实际中还是不用当回事了……我在你家里当然能知道你在干嘛了(摊手 66666 发表于 2018-1-4 09:16
可以用来破解商业或者安全软件防护嘛,比如破解某某D加密或者是陈老师的**库 ...
D加密是混淆,安全性不是基于秘密,换句话说它安全是因为就算全给你看你也看不出来他在干嘛。(理想状态下)所以用不上这个spectre
那个是陈老师的啥库? 所以下一代outel处理器会不会变成史上第一代性能下降的处理器,但是另一方面又会供不应求。。。
魔幻 mimighost 发表于 2018-1-4 09:32
所以下一代outel处理器会不会变成史上第一代性能下降的处理器,但是另一方面又会供不应求。。。
魔幻 ...
硬件层级修复性能就不会下降了,现在下降是因为需要在操作系统这个层面修复。
数据库性能是不是影响巨大啊