Intel ja zombieload "ominaisuus "

[matsukan]

https://www.hardware.fi/uutiset/artikkeli.cfm/2019/05/15/intelin-suorittimista-loytyi-paha-zombieload-haavoittuvuus?

"Aivan kuten Meltdownin ja Spectrenkin tapauksessa, ZombieLoad on mahdollistaa sivukanavahyökkäysten toteutamisen. Taustalla on neljä uutta bugia, jotka mahdollistavat spekulatiivisen suorittamisen hyödyntämisen hyökkäyksessä. Tiedot bugeista välitettiin Intelille noin kuukausi sitten. ZombieLoadian perusajatus on kasvattaa prosessorille tulevaa tietoa niin paljon, että suoritin ei pysty käsittelemään kaikkea ja se joutuu turvautumaan suorittimen mikrokoodiin estääkseen kaatumisen. Sovellusten oikeudet mikrokoodin suhteen ovat hyvin rajallisia, mutta erä bugi antaa suorittimen käsittelyssä olevan datan lukemiseen täydet oikeudet."

Ei ihme tuli aamulla intellin cpu microkoodi päivitys

[elohope]

Intelin sivun mukaan kukaan ei ole vielä hyödyntänyt ainakaan tätä uusinta haavoittuvuutta. Olisi ehkä hyvä, jos käyttäjä voisi helposti valita, otetaanko prosessoria hidastavia päivityksiä käyttöön vai ei. Ainakin sinne asti, kunnes todellisia hyökkäyksiä alkaa syntyä. Ei tässä ole vielä mistään tuhkarokosta kysymys ...

[mrl586]

Osa hidastustoiminnoista lienee kytkettävissä pois sopivilla kernelin parametreillä, joita voi antaa mm. käynnistyksen yhteydessä.

[juylii]

... jos käyttäjä voisi helposti valita, otetaanko prosessoria hidastavia päivityksiä käyttöön vai ei. 

Mikään pakko ei ole asennella _kaikkia_ päivityksiä.
Mutta jos on todellakin tiedossa järjestelmän vakavia haavoittuvuuksia (erityisesti rautatasolla), on aina parasta asentaa ko. tietoturvapäivitykset.
Älä siis käytä automaattista päivitystä, vaan valitse haluamasi päivitykset - en tuota kuitenkaan erityisemmin suosittele,
jos et itse ole tarkemmin perehtynyt, mitä päivityksiä tilanteessasi voi jättää päivittämättä.

[raimo]

Mitäs tästä voi päätellä?

Koodia: [Valitse]

cat /proc/cpuinfo | grep bugsbugs      : cpu_meltdown spectre_v1 spectre_v2 spec_store_bypass l1tf mds

Ilmeisesti päivitystä ei ole vielä tullut? (Fedora 30)

[elohope]

Intelin tuoreen ongelman lisäksi taitaa olla muitakin yleisiä ratkaisemattomia tietoturvaongelmia. F-Secure kertoi muistaakseni pari vuotta sitten, että tahoilla, jotka pääsevät käsiksi Intel-prosessorien mikrokoodiin, on mahdollista asentaa takaportteja myöhempää käyttöä varten. En tiedä onko tähän haavoittuvuuteen löytynyt ratkaisua, vai miksi aihe on tainnut unohtua yleisestä keskustelusta. Ja sitten Ciscon verkkolaitteissa on parhaillaan paha ongelma, johon ei ole lääkettä luvassa muutamaan kuukauteen ja joka ratkaisu ymmärtääkseni on asennettava erikseen laitteisiin.

Toisin sanoen tietoturva-aukkoja alkaa olla niin paljon, että luvassa on mielenkiintoisia aikoja. Miksi hankkia rokotus tuhkarokkoa vastaan, jos naapurustossa riehuu keuhkorutto ...

[jekku]

....
Toisin sanoen tietoturva-aukkoja alkaa olla niin paljon, että luvassa on mielenkiintoisia aikoja. Miksi hankkia rokotus tuhkarokkoa vastaan, jos naapurustossa riehuu keuhkorutto ...

Minä hankkisin em. rokotuksen tuhkarokkoa vastaan.