intel所有CPU都有严重的漏洞？linux已经出补丁了性能损失5-50%

shahito

现在看来 intel 的可能影响更大一些，amd 的影响的看法现在可能还有分歧（不过听起来没 intel 的那么严重）。
intel 和 amd 都还没有回应 google project zero 说的问题，arm 回应了，说他们确定他们的很多现代的高性能处理器有这个问题，然后他们现在提供了一些方案之类的。

可以到 https://developer.arm.com/support/security-update 这里看 arm 的公布内容。
看了下有个表格有4个变种，从a9-a75，变种1-2都受到了影响，变种3a有几款有影响。

mimighost

https://blog.mozilla.org/securit ... lass-timing-attack/

mozilla跟进了，spectre确定能窃取其他页面的信息，目前的应对方案是减少时间测量的精度。

星空天神

牙膏厂今年的9xxx系列会推迟吗

shahito

看了下，amd 官方也发表声明了。列了个表，说3种攻击，第一种可以通过软件和os解决，性能的影响可以忽略。第二种说因为amd的架构不同，所以第二种的影响接近0，他们还没有发现成功的例子。第三种他们说因为架构的不同，他们不受这个影响。
申明网站在这里 https://www.amd.com/en/corporate/speculative-execution

编辑：哦，我明白了，amd说的第三种是指Meltdown，然后一二是指Spectre的两种。
那么现在看来Meltdown那种因为是intel的专有，所以amd和arm不受影响。
不过arm自己又声明了一种这种的变体3a，然后确定自己有3款（A15，A57，A72）有这个问题。

creymorgan

看arm给出的Spectre解决方法，就是jit时候直接把有问题的特征代码抓出来特别处理，估计适用也就是JAVA和JS，已经二进制发行的应该是无解。

星空天神

creymorgan 发表于 2018-1-4 10:03
看arm给出的Spectre解决方法，就是jit时候直接把有问题的特征代码抓出来特别处理，估计适用也就是JAVA和JS ...

已经发行的二进制也不会自己就没事自己执行第三方脚本啊。
python这种应该也有影响吧

creymorgan

星空天神 发表于 2018-1-4 10:07
已经发行的二进制也不会自己就没事自己执行第三方脚本啊。

我猜测可以用来找d加密的暗桩位置，毕竟破解者可以进行本地替换

mimighost

星空天神 发表于 2018-1-4 10:07
已经发行的二进制也不会自己就没事自己执行第三方脚本啊。
python这种应该也有影响吧
...

Python没有jit+运行速度太慢离cache太远反倒是因祸得福了。。。

mimighost

想想其实还是挺可怕的，要是哪个开源软件被劫持然后植入这代码，不马上被看光光么

shahito

intel 的说明文件也出来了 https://s21.q4cdn.com/600692695/ ... alysis-Security.pdf
看了下 intel 的声明……
• NOT unique to any one architecture or processor implementation
• NOT a result of product errata; processors are operating to specification
当然这可能是一种市场营销。

截几个图给大家看一下各方的申明的图标，就比较清晰了。
arm:

amd:

intel:


当然intel每种都有，所以他就不说什么了。
图表里的前两种是Spectre，第三种是Meltdown，然后arm又给出了Spectre的一种变形，叫3a。

creymorgan

mimighost 发表于 2018-1-4 10:17
想想其实还是挺可怕的，要是哪个开源软件被劫持然后植入这代码，不马上被看光光么 ...

只能看光自己。

CatQuta

我只想说普通的家用电脑会成为对方攻击的概率有多大……

creymorgan

CatQuta 发表于 2018-1-4 10:22
我只想说普通的家用电脑会成为对方攻击的概率有多大……

现在开始很大
漏洞已经公开了

mimighost

CatQuta 发表于 2018-1-4 10:22
我只想说普通的家用电脑会成为对方攻击的概率有多大……

Chrome下一个版本升级在这个月底，目前这个漏洞还没有形成有效的攻击，有一定概率失败，也不知道能偷到啥。

星空天神

CatQuta 发表于 2018-1-4 10:22
我只想说普通的家用电脑会成为对方攻击的概率有多大……

s1 被挂马你的就成肉鸡啦

CatQuta

星空天神 发表于 2018-1-4 10:28
s1 被挂马你的就成肉鸡啦

说真的，假设S1被挂马，那么首先也是S1服务器漏洞的问题了，
假设比如网易等等大门户都被挂马，其实这个也防不胜防，再说还不能确定这漏洞能具体破坏什么……
也只能等出补丁打补丁了……

CatQuta

mimighost 发表于 2018-1-4 10:27
Chrome下一个版本升级在这个月底，目前这个漏洞还没有形成有效的攻击，有一定概率失败，也不知道能偷到啥 ...

等补丁的吧，其实说真的也不在意那5%的性能下降……差不了多少，
反正自己家用的电脑基本都是2代3代的CPU……

强尼高达

星空天神 发表于 2018-1-4 09:51
牙膏厂今年的9xxx系列会推迟吗

Coffee Lake延期了两次了，不知道有没有联系……

threefcata

66666 发表于 2018-1-4 09:41
我的意思是可以利用这个漏洞直接破解D加密的密钥，直接绕过安全验证

绝大多数商业软件乃至加密U盘甚至主 ...

hmm。等下有空了把相关资料啃一遍再来说……

mimighost

开年大戏

lpc2103

bill基 发表于 2018-1-4 00:25
如果你“早知”的话
你很大概率躲不过ryzen的seg fault

不是说17年30周以后生产的的没有segfault问题吗？

—— 来自 Xiaomi Redmi Note 4, Android 7.1.2上的 S1Next-鹅版 v1.3.2.1-fix-play

skullgreymon

Radeon 发表于 2018-1-4 14:01
微软面向Windows 10正式版用户发布了紧急安全更新KB4056892，升级后系统版本号迭代到 Build 16299.192。

...

看来我的6700影响不大嘛

stmule

Radeon 发表于 2018-1-4 13:15
https://lkml.org/lkml/2018/1/3/797

x86已死，arm64当立

creymorgan

stmule 发表于 2018-1-4 13:32
x86已死，arm64当立

农企默默的看了身上的弹孔。

天神十三煞

我一个1950x
突然可以躺赢7980xe了吗？

强尼高达

Radeon 发表于 2018-1-4 13:01
微软面向Windows 10正式版用户发布了紧急安全更新KB4056892，升级后系统版本号迭代到 Build 16299.192。

...

核心越多损失越高？