Уязвимость SPECTRE неустранима. Под ударом фактически весь интернет.

zloybomj, я не хотел право слово, но...

1. Сложно доверять мнению человека, который даже в виртуализации не разбирается. Я сейчас открою страшную тайну, но ВСЕ виртуальные машины на современном гипервизоре работают в ring 0, т.е. как бы это хост система, а гипервизор работает в ring 1, что как бы намекает, что это и не хост система... Сложно, да? Шаблон не сломало? Но таковы безжалостные реалии.

Начитаются об виртуализации в интернетиках, а потом... несут образование в массы.

2. Еще раз повторю, кому это было профессионально интересно, обсосали эту новость как неделю назад. Остальным... Я хз зачем это нужно рядовому пользователю. Из-за этой уязвимости можно только прочитать, а не изменить/записать. Что же такого интересного есть у Вас, у меня на домашнем компе, что уже не сообщила достопочтенная Windows кому надо.

3. Ну и раз Вы только этим начали интересоваться, никогда не советуйте кому-то идти доучиваться, а то может неудобно получиться

Цитата (zloybomj @ 17.01.2018 - 22:11)

"У меня нет ничего важного на ПК чтобы я боялся потерять" А ну ОК. ИБ для дураков придумали. Простите за бессмысленную тему. "Т.е. раз эта хрен неустранима, то, ТС, ты чего предлагаешь?" Предлагаю хотя бы знать о её существовании. Или вам страшно? Предлагаю не испольнять JavaScript абы с какого сайта. Норм идея? Или нет? "5й пункт меня все-таки не убедил. почему бесполезно надеяться, что я нахуй не нужен хакерам..? " Заражают не вас, а сайт. Дальше он тотально заражает все ПК. Если вам пофиг что ваш ПК например зашифруют то бояться вам нечего. Потрёте весь винчестер поставите операционку заново и заработает как новенький! Нет проблем!

А можно пример эксплоита на JavaScript?

Какие данные конфиденциальные, а какие нет? Коды эксплоита, пожалуйста. На каком языке написаны?
Маловероятно это все.

"Сложно доверять мнению человека, который даже в виртуализации не разбирается"

Ну так не доверяй и гугли инфу сам. Какая проблема, линки есть.

"который даже в виртуализации не разбирается. "

Ок. Что конкретно вы хотите доказать?

"А можно пример эксплоита на JavaScript? "

Скорее всего в отчетах Google Zero Project и других исследователей, которые есть по ссылкам.

Цитата (zloybomj @ 18.01.2018 - 17:07)

"который даже в виртуализации не разбирается. " Ок. Что конкретно вы хотите доказать?

Конкретно Вам - ничего.

а пока вы тут спорите, злобные хакеры уже пишут свой скрипт

Цитата

У меня нет ничего важного на ПК чтобы я боялся потерять, от слова совсем при совсем, кино музыка с интернета... фото на нескольких носителях лежат на полках. Аккаунт стим, да и хуй с ним, на почту и скайп поебать, в вк и одногласниках меня нет... телефон звонилка без вайберов и ватс апов. комп мне не нужен, для работы... просто тупая машина для развлечений не более, но это лично для меня, хотя есть много людей для кого сеть это жизнь и даже более.

Такая же херня. Танковый аккаунт может только жалко будет, да и то, восстановить не проблема, привязан к телефону. Телефон, обычная звонилка, там ничего не взломают.

Цитата

А ну ОК. ИБ для дураков придумали. Простите за бессмысленную тему. "Т.е. раз эта хрен неустранима, то, ТС, ты чего предлагаешь?" Предлагаю хотя бы знать о её существовании. Или вам страшно? Предлагаю не испольнять JavaScript абы с какого сайта. Норм идея? Или нет? "5й пункт меня все-таки не убедил. почему бесполезно надеяться, что я нахуй не нужен хакерам..? " Заражают не вас, а сайт. Дальше он тотально заражает все ПК. Если вам пофиг что ваш ПК например зашифруют то бояться вам нечего. Потрёте весь винчестер поставите операционку заново и заработает как новенький! Нет проблем!

Ну вот и ответ, чего тогда переживать, винду переустановил и никаких проблем. Один хрен раз в год стабильно винду переустанавливаю.

Цитата (Mason @ 18.01.2018 - 14:07)

Цитата (MECHLAB @ 18.01.2018 - 13:22) Цитата (Mason @ 18.01.2018 - 13:18) Цитата (ЛетучийМыщъх @ 17.01.2018 - 22:17) Атака возможна одним способом. Способ известен. Антивирусам нужен день, чтобы закрыть дыру. ОСи нужно 3 дня. Че за паника, ТС? Или "злой страшный мегавирус" действует в обход ОСи? Удивлен дегенеративности людей не могущих прочитать и понять 2 абзаца текста. "Удивлен дегенеративности людей не могущих прочитать и понять 2 абзаца текста." На ЯПе то...? Я понимаю что суп в кастрюльках ошибочно называемых головой,не предназначен для мало мальской умственной деятельности,но ключевое из текста можно же усвоить. Уязвимость "spectre" (на самом деле их 2 - https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753 https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715 ) принципиально неустранима. До выпуска новых процессоров. Это лет эдак через 3-6... От неё нельзя защититься ни работой в вирт. машине ни запуском приложений в песочнице, ни антивирусами, ни заплатками, ни сменой железа/оси...

Ну и нахуя им усваивать эту чушь?
Что значит "принципиально неустранима"?
Принципиально неустранима причина (до выпуска новых процев).
А в устранении ее использования зловредами ничего принципиально невозможного нет.

Цитата (Zet1977 @ 18.01.2018 - 13:28)

Цитата (FreeziOMG @ 17.01.2018 - 10:03) Пойду посру. А на самом деле не смешно. Давно отслеживаю подобную инфу, но на фоне просца всё это реально ЖОПА. Единственное к такой фразе прислушайтесь "вообще всё что подключается к интернету"

Найденная уязвимость имеет такое же отношение к интернету, как торчащий на ступеньках болт, о который может споткнуться американский шпион - к прослушиванию его телефона в надежде на то, что он начнет ругаться на родном языке.

Найденная уязвимость совершенно ничего самостоятельно не делает. Она просто теоретически позволяет процессу, запущенному с ограниченными правами опять таки теоретически получить какую-то информацию, которую он обычным путем получить не в состоянии.

То есть она теоретически дает возможность любому дяде Васе случайно услышать, как этом самый американский шпион во сне разглашает пароли и явки. Ну, или не случайно, если этот самый дядя Вася намеренно решил послушать, о чем этот шпион бормочет во сне. Услышит ли он там что-либо полезное - еще бабушка надвое сказала, так как каким образом заставить шпиона разглашать именно пароли и явки, а не имена любовниц и адреса ресторанов, никто еще не придумал. Особенно если учесть, что во сне шпион говорит ну очень медленно - по букве в месяц.

Абсолютно то же самое с гораздо большей эффективностью делают спецслужбы.
То есть. в применении к компьютеру, постоянно находятся программные уязвимости, которые позволяют творить намного больше, чем имеющаяся.

И весь шум - исключительно из-за того, что данная уязвимость аппаратная, и поэтому ее закрыть не так легко, как пропатчить программный код.

Цитата (Lastofag @ 18.01.2018 - 14:08)

Цитата (zloybomj @ 17.01.2018 - 21:59) Это означает, что твою машину можно прямо сейчас захватить ПОЛНОСТЬЮ у меня на механике акцент ёпта...Мне стоит переживать? По САБЖУ Спасибо чел. Не знаю твою мотивацию , скорее всего просто альтруизм. Язык изложения очень чоток и ясен. И Уверен- Кому то умному эта инфа поможет . И уверен что и среди нас Хороших есть умные и они твою инфу используют. ЗЫ. могу если че надо довезти на акценте..

...и настолько же безграмотен.

Цитата (zloybomj @ 18.01.2018 - 14:24)

Цитата (mrzorg @ 18.01.2018 - 03:27) Я только лишь не понел почему: Цитата 4) Лезть в инет через вирт. машину бесполезно. Как он на хост проберётся-то? Потому что разделение между виртуалкой и физ.машиной делает процессор, а он взломан. Вредоносный код на уровне процессора выходит за диапазон выделенного ему кэша. А читая/меняя кэш процессора вы читаете/меняете фактически всё что происходит на ПК. Ибо CPU как бы имеет ключевую роль.

Господи, ну сколько можно нести одну и ту же чушь?

Ну не разбираешься ты в этом, так не надо придумывать всякий бред!

Максимум, на что способна данная уязвимость - это возможность получить данные, которые этому процессу читать запрещено.
Причем, получить хуй знает, что, и вдобавок ко всему со скоростью улитки.
ВСЕ!
Ничто никуда не меняется и никакой вредоносный код нигде не запускается.


Это сообщение отредактировал MnogoTochie - 18 янв. 2018 г. в 17:42

Цитата (ЛетучийМыщъх @ 17.01.2018 - 22:17)

Атака возможна одним способом. Способ известен. Антивирусам нужен день, чтобы закрыть дыру. ОСи нужно 3 дня. Че за паника, ТС? Или "злой страшный мегавирус" действует в обход ОСи?

представь себе ДА!

Цитата (zloybomj @ 18.01.2018 - 14:46)

"Обновить браузер будет достаточно. Заплатки уже все делают\сделали. По сути отрубают узкоспециализированную функцию." У меня тоже такая мысль была, но инфы о том что её можно-таки отрубить нет (часто языки программирования предполагают неограниченное кол-во реализации одного и того же действия). Можно пруф? Пока язык остаётся тьюринг-полным на нём можно реализовать любую функцию.

Родной, не используй терминов и предложений, значения которых ты не понимаешь, глупо выглядишь.

А... чо там наши процессоры то? В них эта ерунда же типо может быть и не встроена? Насколько я понял, эти закладки изначально при разработке заложили? Я, честно, читал по-диагонали и пока читал - возник этот вопрос.

Цитата (deniska83 @ 18.01.2018 - 17:41)

Цитата (ЛетучийМыщъх @ 17.01.2018 - 22:17) Атака возможна одним способом. Способ известен. Антивирусам нужен день, чтобы закрыть дыру. ОСи нужно 3 дня. Че за паника, ТС? Или "злой страшный мегавирус" действует в обход ОСи? представь себе ДА!

Садись, два!

Цитата (GoFrenDiy @ 18.01.2018 - 17:53)

А... чо там наши процессоры то? В них эта ерунда же типо может быть и не встроена? Насколько я понял, эти закладки изначально при разработке заложили? Я, честно, читал по-диагонали и пока читал - возник этот вопрос.

Это не закладки. Это механизм, который способен несколько ускорить работу процессора. И этот механизм имеет некоторые особенности, которые, как оказалось, хитрым способом можно использовать для обхода ограничений. То есть это - уязвимость.



Это сообщение отредактировал MnogoTochie - 18 янв. 2018 г. в 18:07

Цитата (GoFrenDiy @ 18.01.2018 - 17:53)

А... чо там наши процессоры то? В них эта ерунда же типо может быть и не встроена? Насколько я понял, эти закладки изначально при разработке заложили? Я, честно, читал по-диагонали и пока читал - возник этот вопрос.

в чем смысл закладывать опцию - прочитать из кеша проца хуй знает что? Совершенно не обязательно, что там будут пароли и явки, это если злоумышленникам очень и очень сильно повезет. С учетом привязки важных аккаунтов еще и к телефону, к мылу и т.д. - сомнительная уязвимость. Единственное - становится не очень уютно хранить важную инфу в облаке, но это касается только крупных компаний.

Цитата (MnogoTochie @ 18.01.2018 - 18:05)

Цитата (deniska83 @ 18.01.2018 - 17:41) Цитата (ЛетучийМыщъх @ 17.01.2018 - 22:17) Атака возможна одним способом. Способ известен. Антивирусам нужен день, чтобы закрыть дыру. ОСи нужно 3 дня. Че за паника, ТС? Или "злой страшный мегавирус" действует в обход ОСи? представь себе ДА! Садись, два!

вообще он действительно действует в обход ОСи, точнее не совсем в обход. Уязвимость закрыть можно, но тогда в некоторых функциях производительность процессора упадет на нехуевые 30%, что очень и очень печально.

если накроется интернет то все вернется на круги своя.. детвора будет играть во дворе , в кинотеатры будем ходить , музыку на рынке покупать , общаться в живую с друзьями, задницу поднимать с дивана , зрение не портить ... короче много плюсов...

Цитата (РУСИФИКАТОР @ 18.01.2018 - 18:27)

если накроется интернет то все вернется на круги своя.. детвора будет играть во дворе , в кинотеатры будем ходить , музыку на рынке покупать , общаться в живую с друзьями, задницу поднимать с дивана , зрение не портить ... короче много плюсов...

ой бля... во первых у нас вся экономика завязана на интернете, во вторых над вами сейчас стоят с автоматом и заставляют сидеть на япе, или просто вам все эти "плюсы" нахер не нужны?)

Вот здесь лежит софтина от Интела для проверки системы на уязвимость.

Вот здесь на сайте интела есть список ссылок на производителей компов, где можно найти патчи и обновления систем, устраняющих эту уязвимость.

И не надо бегать кругами с воплями "всё пропало!", ещё не всё.

- Больной, ну что же вы так убиваетесь? Вы же так никогда не убьётесь!

Мне как-то шеф сказал: -"если ты не можешь повлиять на проблему, то не стоит по этому поводу волноваться".
Вот поэтому, ну и потому-что кроме WOT нихрена ценного на компе нет, я не парюсь.
И ышо, ТС, ты даже не представляешь, сколько "непоправимых ошибок" вокруг тебя....

ZanycH, молоток. Зелень.
Конструктивно.
Проверил - я неуязвим.

Вот что такое конкретный пацан!

Цитата (PaSquirrel @ 18.01.2018 - 18:31)

Цитата (РУСИФИКАТОР @ 18.01.2018 - 18:27) если накроется интернет то все вернется на круги своя.. детвора будет играть во дворе , в кинотеатры будем ходить , музыку на рынке покупать , общаться в живую с друзьями, задницу поднимать с дивана , зрение не портить ...  короче много плюсов... ой бля... во первых у нас вся экономика завязана на интернете, во вторых над вами сейчас стоят с автоматом и заставляют сидеть на япе, или просто вам все эти "плюсы" нахер не нужны?)

жена со скалкой стоит над головой...уебу гврит иди мой посуду

Цитата (FilippOk @ 18.01.2018 - 19:32)

ZanycH, молоток. Зелень. Конструктивно. Проверил - я неуязвим. Вот что такое конкретный пацан!

Проблема лишь в том, что это НЕ ЭТА уязвимость
То детектирует INTEL ME, что на домашних мамках чуть более чем пофиг