AMD odpowiada na poważną lukę zabezpieczeń procesorów. Aktualizację otrzymają tylko nowsze modele
Jak widać, nie tylko Intel ma problemy co do luki zabezpieczenie. AMD też czasem zaliczają wpadki.
Ile razy można o tym pisa�� o tej samej luce?
Ach, no tak - za każdym razem kiedy Intel ma problemy coby dowalić użytkownikom AMD.
No i dalej od 20 lat ta dziura tak naprawdę nie może być wykorzystana, bo trzeba tu bezpośredniego dostępu do maszyny.
Prawda. Nie ma co się przejmować.
Problemy o skokowe napięcie, niestabilność i awaryjność Intel są ważniejsze, który muszę się martwić jako posiadacz i5-13600kf, choć u mnie wszystko w porządku.
Problem jest jednak znacznie głębszy, ponieważ wrażliwe na atak mają być nawet chipy, które swoją premierę miały jeszcze w 2006 roku.
Najstarszy, podatny wymieniony chip to 2017 (bo wszystkie są na architekturze ZEN) i nie widzę ani jednego wyjątku. Natomiast to, że chodzi możliwość w której szkodnik przetrwa reinstalacje (i komputer "można tylko wyrzucić") sugeruje, że siedzi w jakiejś pamięci trwałej która nie jest dyskiem.
Co to za pamięć? "Komputer" sugeruje że wymiana procesora ani płyty nie wystarczy. 2006 to jest parę lat po premierze "Pentium", to są czasy Pentium 4 i Pentium D u intela a u AMD to jest końcówka K7 i początkowe modele K8 - gdzie dostępność takiej funkcjonalności (ekstra pamięci i możliwości modyfikowania systemu) to było by coś o czym trąbiono by na wszystkich frontach.
TL;DR: Jak dla mnie sprawa śmierdzi na kilometr, motają, mieszają - jak chcą żeby komputery się sprzedawały niech ogarną problemy ze sprzętem oraz absolutna parodie jaka jest współczesne oprogramowanie (szpiegowanie, mikrotranzakcje, etc.).
Ps. Ostrzegałem, że przyzwolenie na patologie zabija rynek PC a oni myślą, że to rozwiążą robiąc klientów w h*? Niepoważni.
Niezły damage control ;)
A tak na marginesie - Intel miał tyle luk w swoich procesorach na przestrzeni ostatnich 5 lat, łącznie z takimi perełkami jak CSME, że nikt im nie podskakuje pod tym względem :)
Cóż za przypadek, że akurat teraz ktoś to zauważył Hymmm
Informacje o luce opublikowało kilka dni temu samo AMD - https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html
Więc nie ma co się doszukiwać cudów.
Ja bym się nie przejmował. Skoro ten problem od dawna występuje i ciągle z tych procków ktoś korzystał i korzysta to nie ma się czym przejmować.
Ta luka jest poważna w kontekście szpiegostwa czy to klasycznego czy przemysłowego a nie szarego użytkownika.
Otóż by ją wykorzystać atakujący musi najpierw zdobyć uprawnienia kernala, a to oznacza, że już ma pełną kontrolę nad systemem operacyjnym i dostęp do wszystkich informacji. Tak więc w klasycznym ataku na szarego kowalskiego to jak strzelanie z armaty do wróbla gdy już ma się go w klatce związanego.
Gdzie natomiast jest groźna to atak na powiedzmy sprzęt należący do czołowych polityków i instalacja niemal niewykrywalnego narzędzia do szpiegowania. Tj. wykrawanie i naprawa nie jest możliwe z poziomu systemu a trzeba to robić na poziomie sprzętowym (badanie pamięci flash). Jak się nie wylapie tego momencie ataku poprzedzającego, mającego umożliwić wykorzystanie tej luki to po ptokach.
A tak czysto hipotetycznie. Tesle chyba działają w jakiejś części na prockach AMD. Ciekawe czy dałoby się tam wbić....
Może i by się dało, ale to zależy od systemu nad, który musi sam posiadać pewne podatności umożliwiające wykorzystanie tej luki. Plus jedną rzeczą jest wykorzystywanie jej do śledzenia a inną do nadpisania komunikacji sprzętowej.
Tyle, że mając dostęp do kernala i tak już ma się kontrole nad pojazdem, tyle, że nie tak zgrabnie ukrytą.
Nie chce mi się znów powtarzać tego samego, więc skompiluję moje komentarze z innego wątku na ten temat.
Konkretnie jest to problem całej architektury x86, więc również Intela. Intel ma częściowe zabezpieczenie, które nie jest w pełni niezawodne.
"Wymaga prawidłowego skonfigurowania SMRR-ów, czego wciąż nie robi alarmująca liczba systemów. [...] te poprawki działają tylko, jeśli wszystkie inne mechanizmy bezpieczeństwa są skonfigurowane poprawnie, a nawet wtedy wciąż istnieją miliony procesorów, w których tej podatności nie da się naprawić"
https://youtu.be/lR0nh-TdpVg?t=2419
Co do AMD (z tej samej prezentacji YT)
"Wciąż analizuję procesory AMD [...] AMD nie ma tych rejestrów SMRR. Nigdy z nich nie korzystali, jak Intel, więc intelowska poprawka nie zadziała na procesorach AMD"
oraz "AMD dostarcza funkcje pozwalające zabezpieczyć platformę, ale OEM-y regularnie olewają ich wprowadzenie", z podlinkowanej prezentacji IOActive, również omawiającej tematykę bezpieczeństwa na poziomie ring-2.
https://youtu.be/xSp38lFQeRE?t=2373
Może jestem nadmiernie pesymistyczny, ale niestety tak to bywa, że mechanizmy bezpieczeństwa potem są nieprawidłowo implementowane albo konfigurowane albo się ociągają z poprawkami BIOSÓW/mikrokodu/czego tam jeszcze.
Nawiasem mówiąc, nie jest to pierwsza luka pozwalająca na tworzenie "niewykrywalnego" malware. Jakoś w 2022 mieliśmy już działającą podatność wymierzoną w ring-2.
Z drugiej strony takie "niewidzialne" malware to raczej zagrożenie dla systemów rządowych, instytucji finansowych itp. Na zwykłego użytkownika nie ma sensu tego marnować, bo już sam dostęp do ring0 jest całkowicie wystarczający, żeby robić w zasadzie co się chce.
Podobno AMD nie zamierza wydać łatek dla Ryzenow 3000 i starszych (gdzie 3000 wciąż można spotkać w sprzęcie wystawianym w sklepach)... co ładnie obrazuje o czym już wspomniałem wcześniej: AMD się stacza.
Pomijając już całą narracje "WIRUS! WIRUS! komp do wyrzucenia z obudową włącznie!" wydaje mi się że to uderzy w obrót sprzętem używanym (myślę że dlatego właśnie AMD się wypina, myślą ze podbiją sobie sprzedaż rozwalając rynek wtórny -- gdzie w rzeczywistości ludzie/firmy zaczną się zastanawiać nad tym jak bardzo ufają w dobra wole i kompetencje swoich dostawców i kupią intela bo tam będą łatki (lub qualcoma lub nvidie bo podobno wchodzi w procesory))
Ps. Co do zagrożeń związanych z bezpieczeństwem - zagrożeniem dla systemów, instytucji itp. tego typu problemy są dopóki nie wiadomo o dziurze. Po tym jak to wypłynie wszyscy jesteśmy na widelcu, zwłaszcza że AI świetnie się nada do okradania przeciętnego Kowalskiego z jego oszczędności (tzw. "drobniaków") na masową skale...
Właśnie przeglądałem nowości odnośnie dziury i jedno wielkie nic, no może poza tym że łaskawie zdecydowali się załatać proce z 2019 roku (serie 3000) o której wspomniałem, że wciąż są w sklepach, bo premiera premierą a na sprzęt trzeba czekać czasami całe lata...
A że minęło trochę czasu na refleksje:
- O tym jak to hacker może się dostać z OS'u i swój malware przed modyfikacjami zabezpieczyć, ale firma która cały system stworzyła nie jest w stanie zrobić tego samego (żeby proca nadpisać/wyczyścić/naprawić ) bez wyciągnięcia proca i manualnego wysyłania jakichś sygnałów na nóżki.
- O tym że suport supportem, gwarancja gwarancjom ale jeśli wyprodukowałeś sprzęt który może (finansowo) "wybuchnąć komuś w twarz" to jest wada ukryta i to taka którą akurat wypadało by naprawić.
- O tym jak teraz wielu ludzi którzy kupowało używany sprzęt, ma przerąbane, a ludzie którzy im go sprzedawali też, chociaż ich akurat na to stać
- O tym jak teraz muszę mieć oczy dookoła głowy chcąc kupić procek AMD, nawet nówkę, bo pomijając ewentualne problemy z odsprzedażą, kto mi zagwarantuje że gdzieś w łańcuchu dostaw nie zdarzyła się wpadka w postaci niezaktualizowanego kompa, który "skaził" mój procesor - przed czym w świetle obecnych informacji, nawet po takim czasie nie mam jak zagwarantować bezpieczeństwa, bo oni zamiast wypuścić łaty dla wszystkich zlewają i zaciemniają sytuacje chcąc sobie nabić kiese kosztem klientów.
- O tym jak ich karty od dłuższego czasu są kiepską opcją z racji nowych cwaniackich tendencji, gdzie wady z czasów kiedy firma lepiej traktowała klientów i dlatego je tolerowano (głównie po stronie oprogramowania, kompatybilności, technologi) wciąż nie zostały naprawione - i wiem, sporo było jakoś związane z działaniami konkurencji ale jak AMD chce się bawić w megakorp rekina to z jakiej racji miało by wciąż korzystać z taryfy ulgowej racjonalnego underdoga?
... w konsekwencji których (to refleksji): osobiście pie*łem AMD na swoją blackliste z najwyższym priorytetem, i jest to coś co sugeruje jeśli ktoś ma taką możliwość
Zwłaszcza jeśli ktoś ma możliwość dorwać mobilnego intela (nawet stacjonarki, niektórzy producenci wrzucają do gotowców, trzeba tylko sie pilnować żeby zasilacz był SFX bo inaczej możemy zapomnieć o jakichkolwiek upgrade'ach) - wydajnościowo nie są wbrew pozorom takie złe, a ze względu na różnice (architektura, proces, podejście) jest lepsza szansa, że nie będzie z nimi problemów, niż to ma miejsce w przypadku modeli i5/i3 problematycznych serii.
Osobiście, przez to jak AMD rumakowało ostatnimi laty jedynym co mnie przy nich trzymało to kompatybilność (zwłaszcza gier). Teraz przegięli pa*e. Jeśli jeszcze kiedyś mnie natchnie na x86 to będzie to intel, i nawet niech się k* pali - chyba każdy ma przynajmniej klika kont (steam, indywidualne gry) z których przynajmniej jedno jest cenniejsze niż taki procek, już wole stracić parę stów na spalonym procu, niż to co się uzbierało na wszelakich kontach (a to tylko jeśli maszyna była dedykowana tylko i wyłącznie do gier!) na potencjalnie zainfekowanym sprzęcie przed którym nie mam jak się zabezpieczyć, bo jakaś tępa korporacyjna men*a chce "zarabiać pasywnie" moim kosztem...
