Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Intel potvrdil (INTEL-SA-00233) další bezpečnostní chyby ve svých procesorech. Jedná se o Microarchitectural Load Port Data Sampling (MLPDS) - CVE-2018-12127, Microarchitectural Store Buffer Data Sampling (MSBDS) - CVE-2018-12126, Microarchitectural Fill Buffer Data Sampling (MFBDS) - CVE-2018-12130 a Microarchitectural Data Sampling Uncacheable Sampling (MDSUM) - CVE-2019-11091. Jejich společný název je Microarchitectural Data Sampling (MDS). Další informace i s vysvětlujícími videi (3 minuty, 17 minut) například na stránkách Red Hatu.

Takze dalsi bug/feature, co potvrdzuje, ze zakladom bezpecnosti je nespustat ziadny neznamy kod. Ani vo virtualizacii ani v javascripte, vobec.

15.5.2019 07:21 j
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

A proto ti ho vsude cpou - i tady musis spustit guugli sracky, abys moh poslat post.

15.5.2019 08:30 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Jenomže tomu se nedá vyhnout. Takže to nemá řešení :).
Zdar Max

Měl jsem sen ... :(

15.5.2019 11:03 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Takze dalsi bug/feature, co potvrdzuje, ze zakladom bezpecnosti je nespustat ziadny neznamy kod. Ani vo virtualizacii ani v javascripte, vobec.

Jenže tohohle nedosáhneš vypnutím JavaScriptu. Na spuštění neznámého kódu v zásadě stačí, že máš program, který přijímá data z internetu a nějakým netriviálním způsobem je zpracovává. Když se podíváš do seznamu code exectuion CVE chyb opravených v Chrome, tak samozřejmě objevíš spoustu, které týkají JavaScriptu, WASM atd., ale taky některé, které JS nepotřebují - např. chyby v renderovacím enginu nebo chyby v zobrazovači PDF, kde na exploit stačí 'zlé' HTML nebo PDF.

Vypnutím JS můžeš značnou část problémů eliminovat, ale rozhodně neplatí, že vypnutý JS znamená záruku, že nespouštíš cizí kód z webu. Ditto tvrzení, že použití NX bitu, ASLR a dalších bezpečnostních fíčur zamezuje spuštění kódu. To jsou naprosté mýty. (A z nějakého důvodu se tu pod bezpečnostními zprávičkami často opakují.)

What Big Oil knew about climate change

15.5.2019 17:57 j
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Jenze jedna vec je chyba, kterou lze odstanit, pripadne se ji lze nejakou principialni zmenou zcela vyhnout, a druha vec je ta, ze se vsichni cim dal vic vyzivaji v tom, ze tvoje zarizeni spousti tuny sracek vi buh odkud, protoze prece "bez toho to nemuze fungovat", a ty srackomety nema pod kontrolou ani provozovatel ty sluzby, protoze je vi buh odkud nalinkuje.

Mno ale hlavne ze budou vsichni v suchu a vpohode se zameckama na addressbaru.

Apropos, nepindal tu nebo na ruutu nekdo neco o tom, ze nejde aby nejaka CA vydala certifikat pro domenu, na kterou existuje od jiny CA? Prave mam takovy dva v ruce. Jeden jen od LE, tem stacil nejakej soubor na webu, druhej je od Sectigo, tem stacil libovolnej email v ty domene - takze certifikat si muze nechat vydat libovolnej zamestnanec, napriklad.

15.5.2019 22:31 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Jestli nechceš u sebe spouštět kód buhví odkud, nejlepší bude odpojit zařízení od internetu...

What Big Oil knew about climate change

Bezpečnostní chyby v procesorech Intel – Microarchitectural Data Sampling (MDS)

Komentáře