Это копия, сохраненная 18 февраля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Исследователи Google опубликовали исследование «Reading privileged memory with a side-channel», в котором они описывают найденную ими аппаратную уязвимость, которая затрагивает практически все современные и устаревшие процессоры вне зависимости от операционной системы. Строго говоря, уязвимостей целых две. Одной подвержены многие процессоры Intel (на них проводилось исследование). AMD с ARM также уязвимы, но атаку реализовать сложнее.
Атака позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.
Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.
Другой интересный вариант — эскалация прав чтения памяти из виртуальной машины. Как вам VPS, который ворует данные из других машин хостера?
Эксплуатация уязвимости не оставляет следов.
Насколько это серьезно?
Это очень серьезно. Мир разделится на «до» и «после». Даже если у вас вообще нет компьютера, отдельные последствия косвенно могут догнать вас в офлайне.
Как защититься?
Установить последние обновления системы и браузера. Если вы не уверены в том что дыра точно закрыта и ваша система совершенно точно в безопасности, лучше отключите JavaScript даже при посещении безопасных сайтов — они могут быть скомпроментированы. Некоторые эксперты считают, что программным образом полностью обезопаситься нельзя и единственный способ решить проблему — сменить процессор на вариант без асбеста заведомо безопасный.
Как узнать, подвержен ли ваш компьютер уязвимостям Meltdown и Spectre.
Подробная инструкция на русском:
https://remontcompa.ru/1482-kak-uznat-podverzhen-li-vash-kompyuter-uyazvimostyam-meltdown-i-specter.html
Прекрасные новости, это всё?
Не все. Судя по тестам, патчи сильно повлияют на производительность существующих систем. Тесты показывают падение на 10-30% в некоторых задачах. Да-да, вы все правильно поняли, ваш мак может навсегда стать медленнее.
Интересные статьи по теме:
Опубликованы тесты процессоров Intel с патчем, устраняющем уязвимость
https://www.securitylab.ru/news/490635.php
Главу Intel заподозрили в продаже акций компании на $24 млн из-за уязвимости процессоров
https://habrahabr.ru/company/itinvest/blog/346152/
Подробно об атаках Spectre и Meltdown.
https://habrahabr.ru/post/346164/
Meltdown: влияет не только на производительность
https://habrahabr.ru/post/346114/
Предыдущий тред: https://2ch.hk/s/res/2224690.html (М)
>Как узнать, подвержен ли ваш компьютер уязвимостям Meltdown и Spectre.
>Первая команда установит на вашем компьютере специальный модуль. В процессе установки вам нужно два раза подтвердить операцию, введя y и нажав ввод.
А не пошли бы вы нахуй а
Это официальный скрип майкрофота, ты можешь сам ознакомиться с его содержимым.
Вот тебе мануал на сайте мекрософта:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
Для параноиков. Но там все на английском, а в ОП посте специально для русской аудитории.
>Установить последние обновления системы
Где ссылки на патчи, дауны?
>и браузера
А если я не хочу переходить на новый хромо-фаерфокс?
>Где ссылки на патчи, дауны?
В центре обновления windows? Они тебе сами прилетят, или из репозиториев линукса, типа AUR, если у тебя сам знаешь что.
>А если я не хочу переходить на новый хромо-фаерфокс?
А если ты не обновляешься, зачем тебе вообще беспокоиться о безопасности?
Список камней неуязвимых к Спектру
First the filthy old stuff
Anything StrongARM - - old as mountains.
SuperSPARC - ewww
Transmeta Crusoe - It’s old as the rocks, I know.
Transmeta Efficeon
Old X86
All old 8/16bit x86 and clones
WinChip
VIA C3
386 and clones
486 and clones
Pentium 1 (Non Pro) and clones
The new enough
ARM Cortex-A5
ARM Cortex-A7 MPCore (RasPi 2)
ARM Cortex-A53 MPCore - - - in-order dual issue, with a branch predictor, according to ARM is not affected
Includes Raspberry Pi 3 and many Android Phones. Example: Snapdragon 625 etc.
Intel Atom [Anything based on Bonnel|Saltwell microarchitecture]
Intel Atom Diamondville, Silverthorne
Intel Atom [Pine Trail], Pineview, Many more, see the Bonnel uArch page.
VIA C7 - but does have a basic branch prediction scheme
Intel Itanium aka IA64 (This architecture is amazing and bizarre altogether)
Plus A bunch of MCU’s that are too slow and numerous to list.
Things I’m not 100% sure of:
(But has a better chance than anything not on this list)
IBM Power 6 - - I have no idea why Power 6 was suddenly in-order. – but does have limited branch prediction without speculative execution.
Xeon PhiSPARC T Series (T3 and up)
Stuff that’s got interesting features to disrupt/disable Spectre
AMD Zen with SME/SEV (Secure Memory Encryption/Secure Encrypted Virtualization)This would garble any retrieved memory in Virtualization scenarios.
Список камней неуязвимых к Спектру
First the filthy old stuff
Anything StrongARM - - old as mountains.
SuperSPARC - ewww
Transmeta Crusoe - It’s old as the rocks, I know.
Transmeta Efficeon
Old X86
All old 8/16bit x86 and clones
WinChip
VIA C3
386 and clones
486 and clones
Pentium 1 (Non Pro) and clones
The new enough
ARM Cortex-A5
ARM Cortex-A7 MPCore (RasPi 2)
ARM Cortex-A53 MPCore - - - in-order dual issue, with a branch predictor, according to ARM is not affected
Includes Raspberry Pi 3 and many Android Phones. Example: Snapdragon 625 etc.
Intel Atom [Anything based on Bonnel|Saltwell microarchitecture]
Intel Atom Diamondville, Silverthorne
Intel Atom [Pine Trail], Pineview, Many more, see the Bonnel uArch page.
VIA C7 - but does have a basic branch prediction scheme
Intel Itanium aka IA64 (This architecture is amazing and bizarre altogether)
Plus A bunch of MCU’s that are too slow and numerous to list.
Things I’m not 100% sure of:
(But has a better chance than anything not on this list)
IBM Power 6 - - I have no idea why Power 6 was suddenly in-order. – but does have limited branch prediction without speculative execution.
Xeon PhiSPARC T Series (T3 and up)
Stuff that’s got interesting features to disrupt/disable Spectre
AMD Zen with SME/SEV (Secure Memory Encryption/Secure Encrypted Virtualization)This would garble any retrieved memory in Virtualization scenarios.
http://wp-seven.ru/stat-i/novosti/kak-zashhitit-svoj-kompyuter-ot-uyazvimostej-spectre-i-meltdown.html
> server
Как же вы заебали, макаки тупые.
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
А Meltwown похож на щит из говна, по которому стекает моча
Штеуд как всегда соснул
> А Meltwown похож на щит из говна, по которому стекает моча
Так и задумано, наверное. По сути оно и есть.
А смортфоны на ведре в основном и не задеты благодаря снэпдрегонам.
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
Q1: Why are some antivirus solutions incompatible with the January 3, 2018, security updates?
A1: During testing, we discovered that some third-party applications have been making unsupported calls into Windows kernel memory that cause stop errors (also known as bluescreen errors) to occur.
Объясни
Безопасные.
И как мне потом всё это выпилить?
>Тесты показывают падение на 10-30% в некоторых задачах
Это же коснётся только интелоблядей?
Какой-то аутотренинг.
Антивирус должен быть готов к обновлению. Так что либо обновляй его, либо меняй. Иначе БСОД
Короче переустановил винду и оно накатываться начало после первого ребута.
Так и знал что нельзя было перекатываться с одного глобального апдейта без переустановки с нуля. Только вручную иначе винду пидорасит.
УМВР
Осторожней с патчами братуха.
ПК на процессорах Haswell (2015) и Windows 10 показали уже более значительное снижение производительности, которое заметят «некоторые пользователи». А после обновления компьютера на Haswell с Windows 8 или 7 «большинство пользователей заметят серьёзное снижение производительности». Как отметило издание The Verge, эти системы будут работать хуже всего, потому что многие их функции завязаны на взаимодействии с памятью ядра, включая рендеринг шрифтов.
После обновы, может вообще не взлететь.
https://tjournal.ru/64750-microsoft-obnovleniya-protiv-spectre-povliyayut-na-skorost-raboty-pk-v-zavisimosti-ot-ego-vozrasta-i-zadach
>Насколько это серьезно?
>Это очень серьезно. Мир разделится на «до» и «после».
>Как защититься?
>Установить последние обновления системы и браузера.
Ага, точно. Караул, угроза тысячелетия, спасайся кто может!! Все под крылышко к рукожопым индусам, только они наша последняя надежда в грядущем чипокалипсисе.
В голос просто.
Собсна вот сама эта обнова, УМВР. Конечно предвижу, сейчас прибежит очередной шизик или школотраль и начнет убеждать меня, как у меня все на самом деле прям стало лагать и винда вообще сломалась от такой-то неебической суперуязвимости, ссылаясь на каких-то петухов из интернета.
Такая же хуйня. Всё работает как работало. Никаких тормозов не наблюдаю.
В первую очередь интересуют скорости доступа к ссд, про синтетику с игорями и так с самого начала говорили, что сильно не повлияет.
Ну проебал, один хрен выполняется так же.
>>29849
Дело в том что эта обнова защищает тебя только от одной уязвимости и то не полностью. Для полной защиты тебе нужно еще накатить обновы от spectre, когда выйдет, а также обновить микрокод проца, через обновления биоса, в противном случае, как ты сидел дырявым до этого так и сидишь, только теперь думаешь что залатали тебе дырку, а вот хуй. Если не веришь читай мануалы. А вот когда все поставишь, тогда и проверь свою производительность, если ничего не поменяется, значит ты был прав на все 100%. А если просядет о 60%, значит ты раскудахтался, а потом соснул. Тем более твой проц на sandy bridge, выпущен до 2015, а это очень плохие новости для тебя. В общем когда защитишься полностью, отпишись в треде, что у тебя все норм, только правду говори.
Зачем защищатся от того что нету? Эта уязвимость лишний повод порвать пердаки. С этой уязвимости нихуя нельзя сделать. Даже если и попытаться с помощью ее получить какую то формацию для доступа к пк ты соснешь уже на этапе получения самого доступа ибо утонешь нахуй.
>У тебя проц кусок говна, ясен хуй не будет потери производительности.
Наоборот будет очень сильная. Малый процент потерь демонстрируют только современные процы.
Хуже не будет, как было говно так и станет говно
Поподробнее?
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File
Кто-нибудь пробовал этот костыль для винды?
https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver
Хуйню несёшь.
> Дело в том что эта обнова защищает тебя только от одной уязвимости и то не полностью
Meltdown закрывается полностью чисто ОСью. Проблемы производительности могут быть, да, но заплатка полная.
> Для полной защиты тебе нужно еще накатить обновы от spectre, когда выйдет, а также обновить микрокод проца
Обновы Meltdown и Spectre в ОСях вышли вместе. По крайней мере у винды. Правда Spectre не закрывается чисто ОСью, нужен микрокод, да. Но ждать дополнительный фикс для ОСи не нужно.
> через обновления биоса
Не только. Вот вариант прикостыливания линуксового микрокода >>30251 (похоже разница только в том, что линуховое ядро само поддерживает обновление микрокода из файла на лету, без фирмвари, а винде нужен этот драйвер).
> в противном случае, как ты сидел дырявым до этого так и сидишь, только теперь думаешь что залатали тебе дырку, а вот хуй. Если не веришь читай мануалы.
Лучше ты почитай, прежде чем пиздеть с умным видом. Самый опасный и легко эксплуатируемый Meltdown, и он закрывается полностью чисто виндовой заплаткой.
> А вот когда все поставишь, тогда и проверь свою производительность, если ничего не поменяется, значит ты был прав на все 100%.
Конечно у него не поменяется, потому что производительность снижает только ОС-фикс Meltdown. Обновление микрокода и закрытие этим Spectre уже не повлияет на производительность.
Спектр закрывается перекомпиляцией бинарников программ. А разве микрокод что то может закрыть в той ситуации?
> And slow down my computer? No thanks.
> A microcode update is applied directly to the processor, typically during the boot process, and is a common practice to fix CPU bugs. It changes the microcode running on the hardware itself.
> This is totally different from the kernel PTI fixes, which attempt to deal with Meltdown by changing the way the operating systems for Linux/Mac/Windows/DragonFly (and hopefully soon *BSD) interacts with the hardware and page tables.
https://news.ycombinator.com/item?id=16111433
> А разве микрокод что то может закрыть в той ситуации?
https://access.redhat.com/articles/3311301:
> CVE-2017-5715 (variant #2/Spectre) is an indirect branching poisoning attack that can lead to data leakage. This attack allows for a virtualized guest to read memory from the host system. This issue is corrected with microcode, along with kernel and virtualization updates to both guest and host virtualization software. This vulnerability requires both updated microcode and kernel patches. Variant #2 behavior is controlled by the ibrs and ibpb tunables (noibrs/ibrs_enabled and noibpb/ibpb_enabled), which work in conjunction with the microcode.
>>30301
https://wiki.debian.org/Microcode
>>30303
Походу вообще никаких для старых процов. Печаль.
> {HSW,BDW,SKL,KBL,CFL} are probably Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake.
> Микрокод это же чет типа прошивки внутри самого процессора
Да. Но можно его налету обновить при каждом буте из файла, если ОС поддерживает, не обновляя биос. Например линухи и бсд.
И винда с костылём вмвари.
Щито поделать десу.
Спермопроблемы спермораба без доступа к исходникам.
>Лучше ты почитай, прежде чем пиздеть с умным видом.
Вот тебе, дерегенерату, ебучему читаю с умным видом, блять.
Microsoft: обновления против Spectre повлияют на скорость работы ПК в зависимости от его возраста и задач
ПК на процессорах Haswell (2015) и Windows 10 показали уже более значительное снижение производительности, которое заметят «некоторые пользователи». А после обновления компьютера на Haswell с Windows 8 или 7 «большинство пользователей заметят серьёзное снижение производительности». Как отметило издание The Verge, эти системы будут работать хуже всего, потому что многие их функции завязаны на взаимодействии с памятью ядра, включая рендеринг шрифтов.
Microsoft также протестировала обновления на Windows Server и намекнула системным администраторам на то, что возможно, устанавливать патчи на сервера не стоит. Компания пришла к выводу, что обновления против Spectre и Meltdown влияют на Server вне зависимости от железа.
Это блять официальное заявление майкрософта. Так что твои вскукареки типа:
>Конечно у него не поменяется, потому что производительность снижает только ОС-фикс Meltdown. Обновление микрокода и закрытие этим Spectre уже не повлияет на производительность.
Абсолютный пиздеж и введение анона в заблуждение. Сам нихуя не знаешь, а вещаешь тут, как будто ты блять сам эти патчи писал, ебанько.
Короче не слушайте этого пиздабола. Он свой комп угробил, а еще и ваши тут пытается умандохать. Тролль ебаный. Как же у меня бомбит от таких необучаемых дибилойдов вроде тебя, еблан вонючий. Надеюсь ты сдохнешь от своей непроходимой тупости, говна кусок.
У меня все, спасибо за внимание.
Хотел добавить еще один момент. Значит, люди из microsoft, которые эти патчи писали, тестировали их на своих процах вплоть до 2010 года выпусках, затем, по результатам тестирования, выпустили официальные рекомендации которые разошлись по СМИ. И которые противоречат твоим ебучим вскукарекам >>30262 , то есть хуйне, которую ты несешь, еблан ты наш. Так вот, кому же поверит адекватный человек, инженерам программистам из трансконтинентальной мегакорпорации, или дегенерату-школотрону с двача, который проебал всю свою жалкую жизнь в этой помойке и пиздит тут с умным видом несусветную хуету? Вопрос риторический.
Очевидно школьнику, у школьника нет задачи создавать запланированное устаревание чтобы повышать продажи новых камней, и школьник не обосрался, залочив обновой на АМД, которых дыра не касалась.
У меня стоит чистая 7, но понятное дело не лицензия. Не затронет ли патч, файлы лицензии, и не будет ли потом у меня черный экран с надписью "нужна активация"?
И в целом, кто вообще ставил на 7-8-10 патчи, что там с потерей производительности? Реально она есть или для простого анона незаметна на игорях и серфе инета?
> Вот тебе, дерегенерату, ебучему читаю с умным видом, блять.
> Microsoft: обновления против Spectre повлияют на скорость работы ПК в зависимости от его возраста и задач
> Это блять официальное заявление майкрософта.
Даунич, зачем ты парашные переводы читаешь? Вот официальное заявление
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
> А после обновления компьютера на Haswell с Windows 8 или 7
Ты прочитай эту хуиту, ахахаха. Какое нахуй обновление на хасвел? В оригинале просто кейсы описаны с осями и железом:
> With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
Этим переводом можно только жопу подтереть.
И нахуй ты про сервер болдом выделил?
А теперь слушай сюда и внимай, долбоёб. Смотри на таблицу по оригинальной ссылке, с тремя уязвимостями, мелтдаун и 2 спектра. Заметь, какая из них требует обновление микрокода.
> Spectre 2017-5715 Variant 2 Branch Target Injection Calling new CPU instructions to eliminate branch speculation in risky situations
А затем читай это:
> For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation.
Догадался? Именно фикс Spectre variant 2 имеет перформанс пенальти. Но он не работает вообще, если не обновлён микрокод, посмотри на пикрил. А микрокод хуинтел обновил только для процов после Ivy Bridge (чуток захватив последние иви в виде нескольких i7 и ксеонов http://www.cpu-world.com/cgi-bin/CPUID.pl?&SIGNATURE=198372 ).
Так что можете спокойно выдыхать и получать замедление только от Мелтдауна. На новых процах и дрисне вам снижают пенальти Спектра2. А на старых можно только пососать, фикса Спектра2 нет вообще, как и пенальти от него.
>>30416
Одно слово: Meltdown. Заголовки отдельно про Spectre ты увидишь только в парашных сми с говенным переводом, один из которых ты привёл выше.
Что вообще за идиотская идея читать пересказы парашных сми (тем более на русеке), когда есть оригинал от мс?
>>30425
Я ставил на свои две семёрки. Одна через наёбский OEM/SLIC асуса активирована, вторая не помню, кажется SLIC в разметке харда или обычный активатор.
Других обнов практически нет, только 5 штук похожих для безопасности и один апдейт графической части, чтоб файрфокс мог gpu-процесс спавнить.
Не сломались ни активация, ни система.
Но учти, что фиксы могут конфликтовать с антивирусами в виде бсодов.
Про производительность не скажу. Визуально не ощутил, но сразу сообщали что от задач сильно зависит. И что игры совсем не задеты, т.к. они много считают внутри себя, а не дёргают сисколы. На сёрф тоже не должно повлиять. С остальным можно соснуть, например производительность питона.
> Вот тебе, дерегенерату, ебучему читаю с умным видом, блять.
> Microsoft: обновления против Spectre повлияют на скорость работы ПК в зависимости от его возраста и задач
> Это блять официальное заявление майкрософта.
Даунич, зачем ты парашные переводы читаешь? Вот официальное заявление
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
> А после обновления компьютера на Haswell с Windows 8 или 7
Ты прочитай эту хуиту, ахахаха. Какое нахуй обновление на хасвел? В оригинале просто кейсы описаны с осями и железом:
> With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
Этим переводом можно только жопу подтереть.
И нахуй ты про сервер болдом выделил?
А теперь слушай сюда и внимай, долбоёб. Смотри на таблицу по оригинальной ссылке, с тремя уязвимостями, мелтдаун и 2 спектра. Заметь, какая из них требует обновление микрокода.
> Spectre 2017-5715 Variant 2 Branch Target Injection Calling new CPU instructions to eliminate branch speculation in risky situations
А затем читай это:
> For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation.
Догадался? Именно фикс Spectre variant 2 имеет перформанс пенальти. Но он не работает вообще, если не обновлён микрокод, посмотри на пикрил. А микрокод хуинтел обновил только для процов после Ivy Bridge (чуток захватив последние иви в виде нескольких i7 и ксеонов http://www.cpu-world.com/cgi-bin/CPUID.pl?&SIGNATURE=198372 ).
Так что можете спокойно выдыхать и получать замедление только от Мелтдауна. На новых процах и дрисне вам снижают пенальти Спектра2. А на старых можно только пососать, фикса Спектра2 нет вообще, как и пенальти от него.
>>30416
Одно слово: Meltdown. Заголовки отдельно про Spectre ты увидишь только в парашных сми с говенным переводом, один из которых ты привёл выше.
Что вообще за идиотская идея читать пересказы парашных сми (тем более на русеке), когда есть оригинал от мс?
>>30425
Я ставил на свои две семёрки. Одна через наёбский OEM/SLIC асуса активирована, вторая не помню, кажется SLIC в разметке харда или обычный активатор.
Других обнов практически нет, только 5 штук похожих для безопасности и один апдейт графической части, чтоб файрфокс мог gpu-процесс спавнить.
Не сломались ни активация, ни система.
Но учти, что фиксы могут конфликтовать с антивирусами в виде бсодов.
Про производительность не скажу. Визуально не ощутил, но сразу сообщали что от задач сильно зависит. И что игры совсем не задеты, т.к. они много считают внутри себя, а не дёргают сисколы. На сёрф тоже не должно повлиять. С остальным можно соснуть, например производительность питона.
>Я ставил на свои две семёрки.
Пара вопросов еще. Ты ставил вот это: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894 ?
И как ставил, через центр обновления, или скачивал? Просто у меня заблочено обновление, и когда залез там аж 97 патчей вышло, с момента установки системы.
И какие антивирусы конфликтуют? В наличии два компа, на одном касперский, на другом нод. Ты сам какой антивирь используешь?
>Но он не работает вообще, если не обновлён микрокод
Причем тут вообще микрокод, если это лечится перекомпиляцией программ? Просто не эмитятся неправильные опкоды, трамплин добавляется для джампов.
Х.з., пока что все эти читапокалипсисы выглядят как беспруфный пиздежь для тех, кого уже трудно стало уговорить покупать камень ноаого поколения с рекордной производительностью на 5% больше. Нет ни одного нормального пруф оф концепт в виде сайта, который бы отображал что он там может у меня спиздить через браузер.
> Исследователи Google опубликовали
> Как защититься?
> Установить последние обновления системы и браузера.
Хорошая попытка, гугл, но нет.
Иди нахуй.
Мань, все PoC уже продемонстрированы и в документах, и в видео, и на конференциях.
Когда будет сайт который тебе что-то там отображает из памяти ядра, это будет означать, что десять других хакеров уже давно у тебя угнали пароли и кредитки.
>продемонстрированы и в документах, и в видео, и на конференциях
>дурачку показали картинку и мультик
>дурачок верит и называет всех вокруг манями
лел
АНБшник ну не гори ты так, найдете новую дыру.
А мог бы сидеть на ESR и иметь все дополнения со всеми обновлениями безопасности.
> Пара вопросов еще. Ты ставил вот это: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894 ?
Нет, это https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Скачивал и ставил вручную.
> И какие антивирусы конфликтуют?
Потенциально любой. Списков не видел. Винда не накатывает автообновлением, пока антивирус не поставит в реестр специальный флаг, что он совместим с фиксом этих дыр. Те, кто ставят вручную, могут словить проблемы.
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
Пошарь формы каспа и нода, наверняка тема поднималась и инфа есть.
> Ты сам какой антивирь используешь?
Никакой. Только Outpost Firewall держу.
>>30723
См >>30305
Хуево быть тобой. Куково это жить в спермомире, где даже сраный шелл не совместим сам между собой
>код для защиты от использования хакерами зашитого в процессор кода повлияет на работу
Добро пожаловать в будущее.
Нужен повершел по-новее, если у тебя 7 без обнов. Накатывай https://www.microsoft.com/en-us/download/details.aspx?id=54616
А ещё политику исполнения временно изменить. Сперва в инструкции этого не было, 6 числа кажется добавили.
Убирать переупорядочивание инструкций и предсказанте ветвлений = назад в каменный век, это те же -30% производительности, с таким успехом можно старый пентиум или арм.
А можно хотя бы голосовые команды не обрабатывать в режиме низкого потребления 24/7?
Какие ветвления, там дошло уже до замедления производительности в следствии наличия зонда.
>лучше отключите JavaScript даже при посещении безопасных сайтов
Лол, большая часть сайтов просто запускаться не будет.
Ну конечно, буду я левый скрипт из интернета от рута запускать. Я хоть код и посмотрел, но я не школьник чтобы всякое непотребство от рута запускать
>Spectre Meltdown CPU Checker
Эта хрень же делает то же самое, что и микрософтовский скрипт? Вставит мне ещё один зонд в жеппу?
Зондом меньше, зондом больше.
Да напомни, в любом случае, я загуглю, обмазан ли он телеметрией и прочими фичами.
Какой отозваны? Обосрамс признали идаже интеловские верхи, но тем не менее призвали пользователей продолжать устанавливать все рекомендуемые обновления.
Нормальных заплаток в ближайшее время не жди. В лучшем случае - она будет безполезной имитацией защиты, в худшем - крахнет весь комп.
>единственный способ решить проблему — сменить процессор
Чую, жиды нашли новый способ развести гоев на бабло.
По превьюхе подумал, что спектра угадал акинатор
Я psd1 запускал на втором компе. На первом просто импортил.
А что ты ожидал, если не ставил апдейт?
>>31579
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
>>31846
Более чем актуально. Эти дыры настоящий бич виртуализации, контейнеров и прочего, т.к. идут по пизде границы.
Поэтому был форсмажор в облаках.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезагрузись и отпиши как результат.
>Это очень серьезно. Мир разделится на «до» и «после». Даже если у вас вообще нет компьютера, отдельные последствия косвенно могут догнать вас в офлайне.
Люто проиграл. Долбоёбы, вы тут на полном серьёзе обсасываете какую-то парашу, на которую похуй всему миру кроме вас и которую никто даже не заметил, которая скорее всего очередной говнофорс дебилов из гугле с опасностью уровня моего пука и от которого пострадал 0.000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001 процент населения Земли? Ебать проигрываю, ты бы ещё больше шапку написал и подкрепил её словами про вторжение жнецов.
Сосачую этого эксперта, я уже написал скрипт на JS и успешно его использую, не мешайте мне.
Я, кстати, так и не понял, как скрипт на JS может вызывать исполнение кода на ассемблере.
Ты не понял, а хакиры поняли.
>Я, кстати, так и не понял, как скрипт на JS может вызывать исполнение кода на ассемблере.
Это очередные сказки, как Эбола, птичий грипп, глобальное потопление, Проблема 2000, 21/12/2012 и т.д. Обычная разводка, чтобы вынудить бежать в магазин за новым железом. Уже даже выпускают "патчи" для твоей защиты, которые посто снижают производительность современного процессора на 30%, старые процессоры и мобильные обрубки фактически становятся полными тормозами.
Осталось только через некоторое время найти какую-нибудь уязвимость в видео картах и защитить тебя от нее снижением производительности.
Лол, где написанно что можно что-то спиздить? Допустим чудом твой JS код скомпилился в байт-код с нужными инструкциями для того чтобы сделать дамп памяти, а дальше что? Как ты узнаешь где этот дамп? Как ты получишь доступ к этому дампу? Чем ты будешь его анализировать если у тебя нет доступа к компу?
Это шутка? Дамп делается массивом js-а, и в этом же массиве остается, можно отослать, а можно самим js и проанализировать.
Читай пейперы, чтобы не быть баттхёртом.
https://spectreattack.com/spectre.pdf
И вообще, добро пожаловать в реальный мир. Изображение с твоего экрана можно восстановить через стену, слушая э/м излучение. Ключи шифрования можно извлечь из записи звука работы компьютера в процессе шифрования. Звуки, произносимые в звукоизолированной комнате, можно восстановить по HD-видеозаписи пачки чипсов, лежащей рядом. У нас тут на дворе 2018, а кто-то удивляется, что JS может вытащить байты из памяти, вообще охуеть.
> И вообще, добро пожаловать в реальный мир. Изображение с твоего экрана можно восстановить через стену слушая э/м излучение.
Для этого нужно быть через стену от компьютера-жертвы. И чтобы не было подобия клетки Фарадея (а она есть, так заёбываются только когда компьютер серьёзных людей ломают).
>Ключи шифрования можно извлечь из записи звука работы компьютера в процессе шифрования.
Для этого нужно быть рядом с компьютером-жертвой. Тебя к нему не подпустят.
>Звуки, произносимые в звукоизолированной комнате, можно восстановить по HD-видеозаписи пачки чипсов, лежащей рядом.
Для этого нужно уничтожить подавители видеокамер, если они есть (а они есть, так заёбываются только когда компьютер серьёзных людей ломают) и пачка чипсов (а она вряд ли будет, жрать рядом с важным компьютером не положено).
Клоун, зачем ты устроил кибер-бокс по переписке?
какой красивый он все же
>JavaScript code was written that, when run in the Google Chrome browser, allows JavaScript to read private memory from the process in which it runs
То есть из-за дырявого гуглоговна мой компьютер должен начать работать на 30% медленнее?
>Because of the memory and cache configuration on Intel processors, a series of 2000 such reads (depending on the processor’s cache size)
Еще нужно знать объем кеша.
>Этому были подвержены все браузеры, Хром здесь как пример
Они же там пишут, что используют Chrome и добились результата после манипуляций над кодом, отсюда можно сделать вывод, что под разные браузеры нужно писать разный код и скорее всего версия браузера тоже имеет значение, еще незабываем что успешность работы кода зависит от размера кеша процессора, т.е если ты не знаешь размер кеша то твой код работать не будет.
> отсюда можно сделать вывод, что под разные браузеры нужно писать разный код и скорее всего версия браузера тоже имеет значение
Какая неожиданность! Срыв покровов!
Никому это никогда не мешало ломать индивидуальный браузер/версию на соревнованиях, типа pwn2own. Точнее, большинство взломов именно такие, а универсальные атаки редкость.
> т.е если ты не знаешь размер кеша то твой код работать не будет.
Будто кто-то ограничивает количество попыток с разными размерами.
>Ну и что, что бэкдор в каждом кстройстве вне зависимости установленного софта, только незначительный процент(разработчики и генеральный директор интела) сможет им воспользоваться
Действительно помогло
Нормально ли ставиться, есть ли проблемы с антивирем, не сносит ли лицензию, что с производительностью?
А то чет мозгом понимаю что уязвимость это старая, и воспользоваться ею может далеко не каждый, да и среднестатистический анон, вроде меня, нахер никому не всрался. Но все равно как-то осадочек есть.
И еще интересует такой вопрос, а этой уязвимостью массово воспользоваться можно? Ну там не точечно ломать компы нужных людей, а скажем кинуть куда-то на часто посещаемый ресурс и тупо потом собирать данные.
Поставил на 10летний комп на 775 сокете, лицензия не снеслась, со свежим антивирем проблем нет, производительность внешне не просела.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Это ставил или что поновее вышло? и какой у тебя антивирь?
Подробнее: https://www.securitylab.ru/news/490635.php
АХАХХАХАХАХАХАХХЗ СОСАТЬ МНЕ ПОХУЙ!
>Насколько это серьезно?
>
>Это очень серьезно.
В голос с омежек. Нахуй вы кому сдались, это важно только для работаблядей.
> Нахуй вы кому сдались
https://www.reddit.com/r/privacy/comments/3hynvp/how_do_you_counter_the_i_have_nothing_to_hide/
https://en.wikipedia.org/wiki/Nothing_to_hide_argument
Edward Snowden: "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."
Двачую, постоянно горит с этих даунов
Походу снизились продажи новых процов. Пришлось делать патч, снижающий производительность.
Это копия, сохраненная 18 февраля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.