Комментарии 58
The researchers then pair this data path with known and mitigated software or speculative execution side channel vulnerabilities. AMD believes these are not new speculation-based attacks.
Следовательно,
Однако, 7 марта 2020 года компания AMD подтвердила возможность осуществления атак «Take A Way»— фактическая ошибка.
So my take away from this is while the researchers have indeed found a new exploit, it's effectively useless without one of the pre-existing Spectre-class vulnerabilities which have already been mitigated on Ryzen. In essence, they've picked a lock on a door that is behind another door that AMD have themselves made sure is firmly locked.
The giveaway was no new microcode despite responsible disclosure. An actually serious vulnerability would lead with release of mitigations, then disclosure. Not the other way around, leaving a window in which vulnerable 3rd-parties could be attacked.
Seems to me given the Intel funding, this is a case of a «useful idiot» researcher being manoeuvred as part of an Intel scheme to try and make it seem that AMD's CPUs are just as vulnerable as theirs are.
Как правило, выявленные уязвимости и яйца выеденного не стоят, но при хорошем их пиаре рушат курс акций AMD, повышая акции Intel.
Предыдущие «уязвимости» AMD, найденные израильской командой, можно было использовать при наличии полного доступа к БИОС или имея права администратора. Соответственно, если у злоумышленника есть такие привилегии, то ему и уязвимости не нужны.
AMD
Revenue: 6.73 billion USD (2019)
Intel
Revenue: 70.8 billion USD (2018)
10 раз всего, да и не CPU едиными Интел деньги зарабатывает.
AMD annual net income for 2018 was $0.337B, a 1121.21% decline from 2017.
www.macrotrends.net/stocks/charts/AMD/amd/net-income
Intel annual net income for 2018 was $21.053B, a 119.28% increase from 2017.
www.macrotrends.net/stocks/charts/INTC/intel/net-income
Разница в 64 раза.
В идеале, конечно, сравнивать нужно статьи бюджета на чёрный пиар. Но эта информация явно закрытая.
Не очень понимаю, почему неумение АМД зарабатывать деньги связывается только с черным пиаром конкурентов от Интел.
Или я вас неправильно понимаю?
Я говорил, что:
У AMD в десятки, если не в сотни раз, меньше денег. Те кто занимаются акциями AMD знают, что Intel постоянно нанимает разные компании для поиска AMD-уязвимостей, а потом проплачивает их пиар.
Моя идея была: у Интел очень много денег и она охотно их тратит на чёрный пиар. А у АМД денег мало, и, возможно, поэтому я не слышал о фейковых уязвимостях Интел, нахождение которых проплатила АМД.
а деньги-то тут при чём? вы думаете, что чем больше заплатить исследователю денег, тем быстрее он найдёт уязвимость?
да и не те там деньги, не десятки миллионов какие-нибудь
А сколько денег Интел тратит на чёрный пиар и иследователей — это закрытая информация. Может быть и десятки миллионов в год. Может себе позволить.
может, и тратит, «и почему это должно быть интересно жильцам других домов?»
вы так говорите, как будто исследования в области безопасности железа — это что-то плохое
независимо от источника финансирования
если бы гитлеровская германия путём экспериментов над узниками концлагерей разработала эффективное лекарство от рака, вы бы отказались от его применения?
А аналогия с раком некорректна, тут можно привести аналогию с 2мя конкурирующими лекарствами, на которые ищутся негативные побочные эффекты. Только у одного ищутся с пристрастием (+ чёрный пиар), а у второго сквозь пальцы.
Так как из-за перекоса в финансовых возможностях Intel может больше насолить AMD, чем наоборот.
во-вторых, поиск уязвимостей в софте и в процессорах — кардинально разные задачи
так эту ситуацию вам выше прояснили — две компании ищут косяки в продуктах друг друга с пристрастием
на «финансовые возможности» я уже отвечал
Additional funding was provided by generous gifts from Intel
Ну как вам сказать…
По сравнению с Intel, наверное, все же безгрешен. Другое дело, что это скорее «неуловимый Джо». Доля подрастет и уязвимости найдутся.а пару недель назад вам бы не поверили
Deleted
А вы часто приглашаете домой людей о которых очень мало что знаете?
Ваш браузер грузит бог знает что, вы обычно понятия не имеете что конкретно запустит в нем ресурс, на который вы только пришли
Ваш браузер грузит бог знает что
Так в браузере достаточно огрубить функции измерения времени, чтобы нельзя было заметить разницу в использовании кэша/предсказателя переходов и т.д и т.п.,
и все эти уязвимости станут не актуальны, разве нет?
В винде же я всегда отключаю всякие UAC и ограниченные аккаунты, крайне раздражает весь этот хлам.
А на linux вы исключительно под рутом работаете? Ну, чтобы не мешались какие-то там права доступа.
Мнение интересное, а на чём основано не поделитесь?
А кто вам сказал что оно без пароля по умолчанию? Для использования судо в 16 и 18 убунтах надо ввести пароль пользователя, который вызывает судо.
В Ubuntu по умолчанию с паролем.
Современная требует парольчик, если что.
В распбиане и бубунте оно и настроено без пароля по умолчанию…
И обе являются эталоном секурных систем, ога.
В винде же я всегда отключаю всякие UAC и ограниченные аккаунты, крайне раздражает весь этот хлам.
Во времена семерки у меня было такое же мнение. Тогда еще программы, которые писали со времен XP достаточно криво, не были нормально адаптированы под работу не из под администратора.
Сейчас с современным софтом проблем с UAC нет. Ну спросит разок при установке.
Изоляция процессов на локальном ПК — это защита от добросовестных ошибокэти уязвимости важны, например, для облачных хостингов. Если условный i8700k потянет игрули и с выключенным гипертредингом, то вот для серверов, где может крутиться всё что угодно с чем угодно, отключать 50+ потоков очень больно. Ну а если есть возможность запустить уязвимость из js'а, то это финиш.
Ну хоть мой родненький Атлон Х2 4800+ неуязвим. Уже 12 лет в порядке
Я как-то писал на форуме, что разница в производительности между последней Виндоус 10 и 10-кой 2016 года 15% производительности процессора Интел, мне не поверили.
И текущяя уязвимость будет исправлена программно и опять будет занижена производительность проца, а это нафиг никому не надо, только для корпоративных клиентов. Поэтому сидим на операционках 2015/16 года и не обновляемся.
Исследователи обнаружили уязвимости в процессорах AMD на базе микроархитектур Bulldozer, Piledriver, Steamroller и Zen