#329 En #68 tienes un mini resumen muy básico, luego tienes el video de #222 que lo explica muy bien y es un poco más extenso.
Parches para Windows, para clientes y servidores
#317 https://www.reddit.com/r/sysadmin/comments/7o1769/go_check_your_proccpuinfo_it_will_contain_cpu/ para comprobar el bug en Linux
Por aqui estamos expectantes a ver que dicen los desarrolladores, al parecer Microsoft en las release notes hablan de un registro que, en teoria, deberia crear el Antivirus, aunque no se sabe con claridad qué impacto tendra crear dicho registro, si debía de estar creado con anterioridad, y el impacto del mismo.
Por el momento el parche solo esta para Windows 10 y para el resto el proximo martes.
No es por nada pero cualquiera se fia del parche en windows. Es por ponerme gratuitamente el tinfoil.
#335 Microsoft has identified a compatibility issue with a small number of anti-virus software products.
Y no dicen que av estan afectacdos...
#339 Se supone que con el parche se añade tambien la key ? Yo tengo nod32 y veo que si lo agrega, pero tengo conocidos que no usan eset y no se si el parche agrega la key
#331 los patches del link de servers, ¿los publican luego mediante Windows Update? Porque el de 2012 R2 aparece, pero cuando paso el check updates me indica que no hay ninguna update para descargar :\
Soy pez en Windows Server
#346 En nuestro Wsus ha bajado parches esta noche de 2008, 2008r2, 2012 y 2012r2. Aun no nos han autorizado para instalar, no te puedo decir mas.
https://lkml.org/lkml/2018/1/3/797
Why is this all done without any configuration options?
A competent CPU engineer would fix this by making sure speculation
doesn't happen across protection domains. Maybe even a L1 I$ that is
keyed by CPL.I think somebody inside of Intel needs to really take a long hard look
at their CPU's, and actually admit that they have issues instead of
writing PR blurbs that say that everything works as designed... and that really means that all these mitigation patches should be
written with "not all CPU's are crap" in mind.Or is Intel basically saying "we are committed to selling you shit
forever and ever, and never fixing anything"?Because if that's the case, maybe we should start looking towards the
ARM64 people more.Please talk to management. Because I really see exactly two possibibilities:
- Intel never intends to fix anything
OR
- these workarounds should have a way to disable them.
Which of the two is it?
Linus
#349 En desarrollo yo lo pondria, asi ves si algo peta antes de produccion. Nosotros creo que lo empezaremos a poner ya el lunes, el tema del rendimiento acojona y se lo van a pensar.
Me surge una duda (perdón por las posibles incongruencias que escriba).
Un exploit aprovechando este agujero sería capaz de hacer lecturas indetectables de toda tu memoria, no? Sería como un megakeylogger (mega porque no sólo lee lo que "escribas" si no la memoria en sí).
No sería indetectable el exploit en sí, pero el backdoor como tal sí. Joder, sería el sueño de un atacante. Si lo "pillas" no sabes "qué" ha visto.
Es decir, fuera del tema del rendimiento y servidores, este agujero (que como siempre con todos tardará años en parchearse en todos los equipos y siempre habrá vulnerables) como alguien en remoto (típico ataque hoy día, no?) consiga acceso de ejecución a tu pc/servidor es ya no control total, es conocimiento total de cualquier instancia-ejecución-actividad :/
Se me ocurren pocos agujeros de seguridad más grandes. Y creo que para usuarios domésticos saldrán mil mierdas aprovechándolo... (sí, que con parches blabla, pero ya sabéis cuando llegan los parches a según qué pcs...).
¿Más o menos o me equivoco mucho?
#353 Estos bugs tienen un impacto teórico muy grande, pero un impacto real bastante más reducido. Ese megakeylogger que imaginas ya existe desde hace tiempo y sin necesidad de explotar bugs, basta con escalar privilegios, instalar driver en ring0 y hookear el teclado. Lo mismo ocurre para dumpear datos d eun proceso externo... lanzas un proceso (o lo inyectas), elevas a SE_DEBUG_PRIVILEGE y dumpeas la memoria de un proceso ajeno (passwords de chrome/firefox, hashes NT de sesión, passwords de steam, skype, etc...). Todo eso que imaginas se puede alcanzar desde hace tiempo con otros métodos más fáciles.
A partir de la semana que viene empezarán a salir en public-disclosure y veremos el impacto/alzance real. De momento los payloads y demos que hemos visto en gifs y videos son PoC sobre targets preparados para tal.
Yo al final me he decidido y he actualizado todo, en las pruebas que he hecho la diferencia maxima ha sido del 15% con una media por debajo del 9% asi que tampoco es para tanto.
#356 Hombre, esta ahi, pero una peticion que tardaba 120ms de media ahora tarda 130ms. Teniendo en cuenta que se supone que era una de las cargas de trabajo que peor iban a salir paradas pues tampoco esta tan mal.
#358 Yo ya te digo, viendo los múltiples benchmarks que van saliendo, ya no me preocupo en cuanto a rendimiento.
