LINUX.ORG.RU

Spoiler — новая уязвимость в процессорах Intel

 , , ,


4

4

Снова спекулятивное исполнение инструкций в процессорах Intel пятого поколения (сегодня это все выпускаемые процессоры Intel) привело к обнаружению уязвимости, названной исследователями «Spoiler». Грубо говоря, эта уязвимость основана на особенностях работы с DRAM, исследователи утверждают, что атака может быть применена через JavaScript браузера. Известных способов устранения сегодня не существует.


Примечательно, что компания Intel была предупреждена о существовании уязвимости ещё 1 декабря 2018 года, однако, не предприняла никаких действий. Исследователи не смогли реализовать атаку ни на каких других процессорах: ни на чипах AMD, ни каких-либо ещё в связи с различными внутренними архитектурами процессоров. По словам исследователей, уязвимость может быть исправлена только архитектурно и у Intel, по различным оценкам, может уйти на это около 5 лет.

>>> Подробности

Deleted

Проверено: Shaman007 ()
Последнее исправление: unfo (всего исправлений: 3)
Ответ на: комментарий от JAkutenshi

ок, принимается.

но с другой стороны такой вариант как раз и делает допустимым использование англицизма из за своей многословности

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Англицизм разумно использовать, когда его понимают. А когда уже больше 5 раз за 2 страницы люди заметили, что им гугл нужен (да и тот выдает сначала не относящееся к теме значение слова) - оно не уместно, не экономит время. Время, чтобы прочитать 5 лишних слов про себя меньше, чем выделить англицизм и успеть нажать «search in Google».

Больше всего удивляет с какой.. желчью автор ругается на тех, кто это слово ни разу в жизни не слышал, а на то, чтобы придумать замену я лично потратил меньше минуты.

JAkutenshi ★★
()
Ответ на: комментарий от Deleted

я за то, чтобы те, кто гонят дырявые процы, позакрывались нахрен и на их месте появились новые компании, которые не гнали бы такой откровенный шлак

eternal_sorrow ★★★★★
()

Известных способов митигации сегодня не существует.

Известных способов подавления вновь открытого вектора атаки не существует.

anonymous
()
Ответ на: комментарий от JAkutenshi

Новость ориентирована на специалистов и энтузиастов в IT, как и данный ресурс в целом. Сегодня реальность такова, что подобные вещи необходимо понимать на английском языке, чтобы разбираться в сути вопроса. Если вы не знаете английского - это ваши проблемы. Кроме того, у всех специалистов, причастных к теме это слово вопросов не вызывает. Это - сленг и используется он в сети и в ИТ в частности постоянно. Не знаешь слова - займись самообразованием. Желчи нет, кстати. Про то, что противники использования этого слова в 90% случаев - очередные «грамар-наци, страдающие собственной безграмотностью» - я не забываю. Кроме того, обычно сами высказывания означают всего лишь выпад в сторону человека, использовавшего это слова и получают только «адекватный ответ», не более.

Я, надеюсь, суть вопроса стала более ясной?

Deleted
()
Ответ на: комментарий от Deleted

Это - сленг и используется он в сети и в ИТ в частности постоянно.

Я занимаюсь ИТ, знаю английский, но это слово увидел впервые. И еще раз подчеркну, что даже гугл это слово понимает в первую очередь не как термин из ИТ, а как бизнес-термин вообще. Кроме того, лор явно не место, где не знают англицизмов или далекое от ИТ место. И если в нем за 2 страницы столько раз говорят, что что-то не так, то это, возможно не у них проблемы. Если я написал статью и рецензенты (люди, разбирающиеся в предметной области) мне пишут, что вот тут есть проблемы с лексикой, то и конечный читатель тоже скорее всего не поймет. А если мою статью поймут только избранные, то не вполне понятно зачем это все. Опять же, учитывая то, что на исправление уходит меньше минуты. Упертость мне и не понятна.

JAkutenshi ★★
()
Ответ на: комментарий от Deleted

да хоть бы и так (хоть это и преувеличение).

ну серьёзно. сколько прошло с обнаружения Spectre и Meltdown? больше года с учётом периода, когда информация о них не разглашалась? а с их конвейеров до сих идут процы, подверженные уязвимости. и когда будет исправлено - неизвестно вообще. на исправление этой уязвимости тоже может потребоваться 5 лет.

когда стало известно о проблеме, вместо того чтобы остановить производство и продажи и бросить все силы на решение проблемы, они просто продолжили клепать откровенный шлак как ни в чём не бывало. разве так делается?

eternal_sorrow ★★★★★
()
Ответ на: комментарий от JAkutenshi

знаю английский
увидел впервые

Оно употребляется почти во всех английских текстах о Meltdown и Spectre, исходном коде ядра (комментариях), документации к ядру. Является английским словом.

гугл это слово понимает в первую очередь не как термин из ИТ, а как бизнес-термин вообще.

Кто сказал, что это термин из ИТ? Это вообще заимствованное слово из английского языка. То, что его сначала стали использовать в бизнесе (мода на всякий коучинг, менеджер, эйчар) - не означает, что слово не может быть использовано где-то ещё.

Опять же, учитывая то, что на исправление уходит меньше минуты.

1. Такого функционала уже нет: исправить не могу.
2. Заморачиваться и призывать кого-то не собираюсь.
3. Информация донесена. И все заинтересованные ПОНЯЛИ, что это такое. Хватит раздувать слона.

Deleted
()
Ответ на: комментарий от ZenitharChampion

Long Live Itanium!

У тебя четыре опечатки в слове «dead». Зато HT туда уже точно никогда не добавят.

anonymous
()

Надо браузер менять на что-то. Для простого хомяка - это единственный вектор атаки. Нет выполнения кода - нет проблемы.

crutch_master ★★★★★
()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

бросить все силы на решение проблемы,

Когда уязвимость была обнародована - временное решение проблемы уже существовало. И сейчас выпускаемый дырявый шлак имеет софтовые заплатки. Собственно, я согласен, но не люблю резких движений и процессы уже идут, так или иначе.

Deleted
()

давайте уже публиковать имена инженеров, которые допустили такие косяки. страна должна знать своих героев!

PexuOne
()
Ответ на: комментарий от crutch_master

Да просто отключи JS и радуйся ~~жизни~~пустым страницам.

anonymous
()

и мда.. сценарий терминатора так на всегда и останется сказкой..

PexuOne
()
Ответ на: комментарий от PexuOne

«У каждой ошибки есть фамилия»

anc ★★★★★
()
Ответ на: комментарий от eternal_sorrow

но с другой стороны такой вариант как раз и делает допустимым использование англицизма из за своей многословности

Меня учили (в начале 90-х), что переводчик на перевод всего одного слова может потратить часы и даже дни, включая рытье в словарях (в том числе толковых) в библиотеках.

Но сейчас так не делают. Сходу в голову не пришло как изящнее перевести и хренак или англицизм или длинноты.

praseodim ★★★★★
()
Ответ на: комментарий от Deleted

У меня прямо эрекция случилась от вашего логрида. Будто увидел голую базарную шлюху загнутую раком

anonymous
()
Ответ на: комментарий от eternal_sorrow

Над ним работают, на самом деле, и вроде как новые поколения процессоров (не рефреши) должны будут не иметь подобных уязвимостей. Интел такие заявления делала, АМД исправил микрокодом. Собственно говоря, разработка CPU занимает длительный срок и это может занять действительно лет 5. Там биллионы транзисторов, достаточно сложные техпроцессы, огромный порог вхождения и тонны зелени/нефти на то, чтобы протестировать семплы. В общем, не всё так просто.

Deleted
()
Ответ на: комментарий от anonymous

У меня монитор с защитой от протекания жира через него.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от praseodim

Я даже переводить не пытался, прочитал основную статью и пересказал по памяти, но уже на понятном более-менее всем языке. Шаман немного подправил (с толком) и всё.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от unixnik

Не, просто еще

не допилили миникс в intelME

sqq
()
Ответ на: комментарий от h578b1bde

Ну жабаскрипт это меньшее из зол. Основная проблема заключается в том, что провайдеры виртуальных серверов опять в охренении.

Deleted
()
Ответ на: комментарий от anonymous

Пусть гугловцы с мозилловцами учатся писать быстрый код.

Скорее текущие дуршлаги от штеуда успеют покрыться мхом.

h578b1bde ★☆
()
Ответ на: комментарий от Deleted

То, что его сначала стали использовать в бизнесе (мода на всякий коучинг, менеджер, эйчар) - не означает, что слово не может быть использовано где-то ещё

Только о таком использовании должны знать и другие люди, помимо одного безграмотного чудака, который ещё и слово «функционал» суёт не к месту.

Deleted
()

митигации

уберите это позорище!

anonymous
()
Ответ на: комментарий от anonymous

Здрасьтеприехали, они и так пыжатся, пытаясь ускорить вебпарашу до предела. Вспомни, какими тормозными были JS-движки ещё лет 10 назад. И тут такое наглое хомядло, которому всё мало, вылезает и начинает визжать «фу, лентяи, всё тормозит, ничего делать не умеют, пошли нафиг». Скормить бы тебя кошке, визглявое...

svinarenko
()
Ответ на: комментарий от Deleted

Эй, чудак на букву М, у меня нет возможности исправить потому, что функционал сайта не подразумевает исправление новости мной после неких событий, которые уже произошли. Что там не к месту? Позови модератора, поплакайся ему в жилетку, раз это не устраивает ТЕБЯ.

Deleted
()
Ответ на: комментарий от Deleted

Ну вот все, кого не устраивает идут дружно лесом к модераторам. Пусть жалуются в linux-org-ru, мне начхать, понимаешь?

Вообще умиляют такие упёртые, которые считают своим долгом кому-то что-то указать, при том прекрасно зная реакцию по предыдущим попыткам других героев. Жирноваты вы стали. Троллить надо так, чтобы пукан у собеседника взрывался, чтобы он понимал, как его опустили не сразу же, а как домой придёт. Тьфу... Похерили всё искусство.

Deleted
()
Ответ на: комментарий от bga_

Твой процессор безнадежно сломан. Тебе теперь с этим жить. И тебе стало легче от этих знаний?

Знания - это вообще не такая вещь, которая приносит счастье, знаешь ли. Но лучше с ними, чем без них.

Deleted
()
Ответ на: комментарий от svinarenko

Здрасьтеприехали, они и так пыжатся, пытаясь ускорить вебпарашу до предела. Вспомни, какими тормозными были JS-движки ещё лет 10 назад. И тут такое наглое хомядло, которому всё мало, вылезает и начинает визжать «фу, лентяи, всё тормозит, ничего делать не умеют, пошли нафиг».

И правильно визжат, эти твои гуглы с тормозиллами даже свою собственную тормозную вебпарашу нормально сделать не осилили, чего от других хотеть. Какое-нибудь говногмыло в браузере давно видел?

h578b1bde ★☆
()

Давно хотел себе купить AMD FX платформу, чтобы раскрывать потанцевал, а тут и повод появился.

ArkaDOSik ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.