Μετάβαση στο περιεχόμενο


Φωτογραφία
* * * * * 1 ψήφοι

Meltdown και Spectre - Η ανακοίνωση της Apple


  • Please log in to reply
13 μηνύματα σε αυτό το θέμα

#1   iPhoneHellas

iPhoneHellas

    iPH Admin

  • 640,961 μηνύματα
  • Twitter:@iphonehellas
  • Φύλο: Άντρας
  • Κινητό: iPhone 6 Plus
  • Tablet:iPad 3 +4G
  • GameCenter:iPhoneHellas

Δημοσίευση 05/01/2018 - 13:06

Meltdown-%CE%BA%CE%B1%CE%B9-Spectre-%CE%

 

 

Ο κακός χαμός γίνεται τις τελευταίες ημέρες μετά τις αποκαλύψεις της ιστοσελίδας The Register σχετικά με τα δύο τεράστια bugs (Meltdown και Spectre) στην αρχιτεκτονική σχεδόν όλων των επεξεργαστών που γνωρίζουμε (Intel, AMD, ARM) τα τελευταία 10 χρόνια. Από την στιγμή που διαδόθηκε η είδηση είχαμε σωρεία διαψεύσεων, δηλώσεων, αντιφατικών ανακοινώσεων κλπ., επομένως, δεν θέλει και πολύ να χαθείς στην μετάφραση.
 

Τι είναι τα Meltdown και Spectre

 

Πρόκειται για bugs σε πολύ βασικό επίπεδο που αφήνουν εκτεθειμένα πολύ σημαντικά δεδομένα του χρήστη, τα οποία είναι αποθηκευμένα στον υπολογιστή. Στη μοντέρνα αρχιτεκτονική των επεξεργαστών (ο τρόπος με τον οποίο επικοινωνούν τα τρανζίστορ και οι λογικές μονάδες), βρέθηκε κενό ασφαλείας στο kernel (το πιο κεντρικό κομμάτι software) που επιτρέπει την διέλευση δεδομένων, όπως τα passwords και ευαίσθητες προσωπικές πληροφορίες.
Αυτά τα δεδομένα υποτίθεται ότι προστατεύονται στο μέγιστο δυνατό επίπεδο έτσι ώστε να μην έχουν πρόσβαση σε αυτά οι διάφορες εφαρμογές και προφανώς προγράμματα malware. Παρόλα αυτά, τα Meltdown και Spectre παρακάμπτουν αυτή την προστασία και τα αφήνουν εκτεθειμένα, το πρώτο στους επεξεργαστές της Intel και το δεύτερο στους επεξεργαστές Intel, AMD και ARM (π.χ. Qualcomm Snapdragon, Huawei Kirin, Samsung Exynos, MediaTek, Spreadtrum κλπ.), άρα πρακτικά παντού.

 

Ποιοι επηρεάζονται

 

Για την ώρα έχουν δοκιμαστεί επεξεργαστές από τη σημερινή εποχή μέχρι πίσω στο 2011, αλλά θεωρητικά το πρόβλημα μπορεί να πηγαίνει μέχρι και το 1995. Επειδή η φύση των Meltdown και Spectre είναι σε επίπεδο αρχιτεκτονικής, δεν έχει καμία σημασία το λειτουργικό σύστημα της συσκευής, επομένως, είτε μιλάμε για Windows, είτε για OS X, είτε για Android, είτε για iOS είναι το ίδιο, όπως φυσικά και οποιαδήποτε συσκευή (smartphones, tablets, laptops, desktops κλπ.).
Ειδικότερα το Meltdown μπορεί να διαδοθεί πολύ εύκολα και μέσω cloud σε χιλιάδες υπολογιστές που μοιράζονται και μεταφέρουν δεδομένα σε εκατομμύρια χρήστες, ωστόσο, είναι αρκετά πιο δύσκολο να πραγματοποιηθεί η επίθεση εξ αποστάσεως.

 

Μπορεί να διορθωθεί;

 

Σε ό,τι αφορά το Meltdown, το κενό μπορεί να κλείσει με patch ασφαλείας που θα κυκλοφορήσουν οι κατασκευάστριες εταιρείες. Αυτό ουσιαστικά θα ισχυροποιήσει το “τείχος ασφαλείας” γύρω από το kernel, αλλά για να συμβεί αυτό θα θυσιαστεί αυτόματα η απόδοση του επεξεργαστή. Ήδη ακούγεται ότι αυτή η μείωση θα είναι της τάξης του 5-30%.

 

Το Spectre, όμως, είναι αρκετά πιο πολύπλοκο να διορθωθεί, καθώς οι ερευνητές δεν έχουν καταφέρει μέχρι στιγμής να βρουν τρόπο πλήρους αντιμετώπισης του. Τουλάχιστον, οι μεγάλες εταιρείες έχουν ξεκινήσει ήδη το λανσάρισμα διάφορων patch που ψιλο-διορθώνουν την κατάσταση. Η Google ανακοίνωσε ότι η αναβάθμιση ασφαλείας του Ιανουαρίου θα προστατέψει τις συσκευές Android, η Microsoft κυκλοφόρησε αντίστοιχο update για το Windows OS, η Amazon αναβαθμίζει τους servers της κλπ.

 

Μια οριστική λύση θα δοθεί όταν αλλάξει ριζικά η αρχιτεκτονική των επεξεργαστών, επομένως, θα χρειαστεί αρκετός καιρός και οι κατασκευαστές hardware δεν θα περάσουν καθόλου ευχάριστα αυτό το διάστημα. Φυσικά, ούτε λόγος για ανάκληση των επεξεργαστών, αφού έχουμε να κάνουμε για σχεδόν οποιαδήποτε ηλεκτρονική συσκευή.
 
Update: Ανακοίνωση της Apple σχετικά με τα Meltdown και Spectre

 

H Apple εξέδωσε ανακοίνωση σχετικά με τα Meltdown και Spectre, με σκοπό να ενημερώσει τους χρήστες για ενδεχόμενα θέματα ασφαλείας.
 

Ποια προϊόντα επηρεάζονται;

 

Όλα οι συσκευές Mac και iOS, εκτός του Apple Watch (Meltdown).
 

Τι προτείνει η Apple;

 

Μην εγκαθιστάτε εφαρμογές στις συσκευές σας, από πηγές εκτός των App store.
 

Αναβαθμίσεις

 

Τα iOS 11.2, macOS 10.13.2 και tvOS 11.2 περιέχουν fixes προστασίας ενάντια στο Spectre και το Meltdown, ενώ θα ακολουθήσουν και νέα firmware updates στα iOS,

macOS, tvOS και watchOS καθώς και στο Safari.
 

Μειώση Απόδοσης

 

Meltdown: Τα bug fixes της Apple που δόθηκαν με την κυκλοφορία των iOS 11.2, macOS 10.13.2 και tvOS 11.2 δε φαίνεται να μειώνουν την απόδοση των συσκευών με macOS & iOS όπως έδειξαν μετρήσεις των GeekBench 4 αλλά και Web browsing benchmarks όπως τα Speedometer, JetStream και ARES-6.

 

Spectre: Η Apple θα δώσει σύντομα σε κυκλοφορία νέα αναβάθμιση του Safari για το macOS and iOS  που θα διασφαλίζει τους χρήστες κατά του exploit. Οι μετρήσεις τις εταιρείας δείχνουν πως δεν υπάρχει μείωση της απόδοσης στα Speedometer και ARES-6 Web browsing benchmarks ενώ στο JetStream benchmark καταμετράται μείωση της απόδοσης κατά 2.5%.

Η ανακοίνωση της Apple
 

About speculative execution vulnerabilities in ARM-based and Intel CPUs

  
Security researchers have recently uncovered security issues known by two names, Meltdown and Spectre. These issues apply to all modern processors and affect nearly all computing devices and operating systems. All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store. Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.
 

Background

 

The Meltdown and Spectre issues take advantage of a modern CPU performance feature called speculative execution. Speculative execution improves speed by operating on multiple instructions at once—possibly in a different order than when they entered the CPU. To increase performance, the CPU predicts which path of a branch is most likely to be taken, and will speculatively continue execution down that path even before the branch is completed. If the prediction was wrong, this speculative execution is rolled back in a way that is intended to be invisible to software.
The Meltdown and Spectre exploitation techniques abuse speculative execution to access privileged memory—including that of the kernel—from a less-privileged user process such as a malicious app running on a device.
 

Meltdown

 

Meltdown is a name given to an exploitation technique known as CVE-2017-5754 or "rogue data cache load." The Meltdown technique can enable a user process to read kernel memory. Our analysis suggests that it has the most potential to be exploited. Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation. Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.
 

Spectre

 

Spectre is a name covering two different exploitation techniques known as CVE-2017-5753 or "bounds check bypass," and CVE-2017-5715 or "branch target injection." These techniques potentially make items in kernel memory available to user processes by taking advantage of a delay in the time it may take the CPU to check the validity of a memory access call.
Analysis of these techniques revealed that while they are extremely difficult to exploit, even by an app running locally on a Mac or iOS device, they can be potentially exploited in JavaScript running in a web browser. Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark. We continue to develop and test further mitigations within the operating system for the Spectre techniques, and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.


Behind the Scenes...

Ad

Ad

Team
iPhoneHellas
3,1416 μηνύματα
Twitter: @android
Φύλο: Όπως το δει κανείς
Κινητό: Android
Tablet: Για τα κουνούπια

Γιατί να γίνετε μέλη;

#2   xxxxxx

xxxxxx

    iPH Guru

  • 9,340 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 05/01/2018 - 13:14

Αχ τι χαρά? Yes και άλλο υποβάθμιση του επεξεργαστή!

 

Ωστόσο, είναι αρκετά πιο δύσκολο να πραγματοποιηθεί η επίθεση εξ αποστάσεως αυτή η πρόταση τα λέει όλα. Σταματήστε να κάνετε άλλο update κατ εμε. Θα τα κάνουν καβουρδιστήρια όλα μέχρι το 2020 που θα αναβαθμιστούν οι επεξεργαστές.


Τελευταία επεξεργασία από: billytilaver, 05/01/2018 - 13:21.


#3   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 13:27

https://twitter.com/...047283357806593

 

Απόλαυση τα σχόλια... :D



#4   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 13:43

MW-GB064_intel__ZT_20180103151039.jpg

 

Carma is a b.... τελικά. Οι υψηλές τιμές "πιάνουν" τόπο... ^_^

Ένας ένας με την σειρά απ'ότι βλέπω.

Το Spectre δεν μπορεί να πατσαριστεί τελικά απ'ότι καταλαβαίνω πλήρως οπότε μόνο με αλλαγή επεξεργαστών. Όσοι το έχουμε (όλοι δηλαδή) θα το έχουμε ώς ένα βαθμό.


Τελευταία επεξεργασία από: GRchris, 05/01/2018 - 13:46.


#5   xxxxxx

xxxxxx

    iPH Guru

  • 9,340 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 05/01/2018 - 13:45

Το θέμα είναι πως το 50% των ανθρώπων αδυνατούν να διαβάσουν είδηση, το συγχέουν και με το μένος τους για την intel και θεωρούν πως η amd είναι καλύτερη και δεν προσβάλλεται. Όμως η αλήθεια είναι πως όλα τα τσιπάκια μα όλα προσβάλλονται.


Τελευταία επεξεργασία από: billytilaver, 05/01/2018 - 13:45.


#6   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 13:49

Το θέμα είναι πως το 50% των ανθρώπων αδυνατούν να διαβάσουν είδηση, το συγχέουν και με το μένος τους για την intel και θεωρούν πως η amd είναι καλύτερη και δεν προσβάλλεται. Όμως η αλήθεια είναι πως όλα τα τσιπάκια μα όλα προσβάλλονται.

Όταν ο άλλος κολλάει μόνο στην Intel και δεν καταλαβαίνει οτι το έχουν ΟΛΟΙ ακόμη και η ARM και AMD...είναι θλιβερό να συγχέεις τέτοια είδηση, με το τελευταίο θέμα της Apple περί μπαταρίας που έγινε με σκόπιμο τρόπο. Τρέχα να εξηγήσεις... B)

Όσοι κάνετε e-banking απο κινητά, θα έλεγα το νού...σας...

Πόσα χρόνια όμως υπήρχε ε; Τί έγινε και το βγάλανε τώρα;

 

YΓ: Και ένα παράδειγμα κώδικα...

https://gist.github....bbd7b2a9e3d4bb6


Τελευταία επεξεργασία από: GRchris, 05/01/2018 - 13:52.


#7   manosvitacar

manosvitacar

    iPH Community Leader

  • 12,909 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 2G
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 13:55

δηλαδή ρε παίδες  τέρμα το e-banking από τα κινητά? και γιατί όχι και από τα Pc ? 



#8   vrachamis

vrachamis

    iPH Master

  • 6,834 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 05/01/2018 - 14:02

Ας μην μας πιάνει πανικός και μην το γενικεύουμε. Δεν έχει άμεση σχέση το παραπάνω με το e - banking. Εκτός και αν ο χρήστης διατηρεί αρχείο με αποθηκευμένους τους κωδικούς του σε ποικίλες υπηρεσίες/τράπεζες. Το αρχείο είναι ευάλωτο σε ένα υποθετικό σενάριο επίθεσης.Όχι το e-banking.


Big things have small beginnings

#9   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 14:10

δηλαδή ρε παίδες  τέρμα το e-banking από τα κινητά? και γιατί όχι και από τα Pc ? 

"There are two vulnerabilities- "Meltdown" and "Spectre". The patched kernel fixes Meltdown, but there is no fix (yet) for Spectre."



#10   ntnskrds

ntnskrds

    iPH Elite Poster

  • 2,334 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6
  • Tablet:iPad Air
  • GameCenter:ntnskrds

Δημοσίευση 05/01/2018 - 14:28

 

Πόσα χρόνια όμως υπήρχε ε; 

 

Υπαρχει απο την στιγμη που Tomasulo-induced microarchitectural state changes cannot be properly contained (βλεπε caches combined with speculative execution)...

 

 

 

Τί έγινε και το βγάλανε τώρα;

 

 

 

Ισοδυναμο με το 'Γιατι μας ψεκάζουν ???'



#11   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 15:08

https://blog.malware...u-need-to-know/

 

[No software patch for Spectre is available at the time of this article. Partial hardening and mitigations are being worked on, but they are unlikely to be published soon.

The Spectre bug can be exploited via JavaScript and WebAssembly, which makes it even more critical. It is therefore recommended to apply some countermeasures such as Site Isolation in Chrome. Mozilla is rolling out a Firefox patch to mitigate the issue while working on a long-term solution. Microsoft is taking similar action for Edge and Internet Explorer.]

https://developer.ar...security-update

http://www.24hgold.c...or=Mark O'Byrne



#12   PariS21

PariS21

    iPH Contributor

  • 1,032 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 2G

Δημοσίευση 05/01/2018 - 15:23

@grchris & ntnskrds , συνεχιζετε την κοντρα σας και εδω τωρα??



#13   ChrisDs

ChrisDs

    iPH Contributor

  • 941 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone X

Δημοσίευση 05/01/2018 - 17:24

Ας μην φερνουμε την καταστροφή, θα βγουνε mitigations τώρα το κατα πόσο θα σώζουν μόνιμα την κατασταση και δεν αρχίσει ενα κυνηγι αναμεσα σε κακοβουλους hackers και εταιρείες θα δειξει.

Από την αλλη θα τριβουν τα χερια τους ομαδικως με τα λεφτα που θα βγαλουν απο τα upgrades μελλοντικα...



#14   GRchris

GRchris

    iPH Addict

  • 840 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 6S Plus
  • Tablet:iPad Air 2

Δημοσίευση 05/01/2018 - 19:49

@grchris & ntnskrds , συνεχιζετε την κοντρα σας και εδω τωρα??

Βλέπεις πουθενά να του έχω κάνει παράθεση. Αυτός με "διώκει"... :P

 

Ας μην φερνουμε την καταστροφή, θα βγουνε mitigations τώρα το κατα πόσο θα σώζουν μόνιμα την κατασταση και δεν αρχίσει ενα κυνηγι αναμεσα σε κακοβουλους hackers και εταιρείες θα δειξει.

Από την αλλη θα τριβουν τα χερια τους ομαδικως με τα λεφτα που θα βγαλουν απο τα upgrades μελλοντικα...

Mόνιμα δεν θα είναι οπότε νομίζουν οτι ο κόσμος θα τρέξει να αναβαθμίσει με αυτούς που του δημιουργήσανε το πρόβλημα. Μια χαρά είμαι και τώρα, έλαβα εδώ και χρόνια τα μέτρα μου.

Άσε αυτούς να πουλάνε εκεί που πιάνει. Άν δεν καεί η μητρική αναβάθμιση δεν έχει.


Τελευταία επεξεργασία από: GRchris, 05/01/2018 - 19:49.





Χρήστες που διαβάζουν αυτό το θέμα: 3

0 μέλη, 3 επισκέπτες, 0 ανώνυμοι χρήστες