Компании Microsoft и Google совместно обнаружили новую серьёзную уязвимость в центральных процессорах Intel, AMD и ARM. Ошибка под названием Speculative Store Bypass (variant 4) очень похожа на Spectre, но в её основе лежит другой способ кражи личных данных.
Отличительной особенностью Speculative Store Bypass является возможность её использования с помощью скриптов внутри приложений. Другими словами, злоумышленники могут оставить вредоносный JavaScript-код прямо на веб-странице, а пользователь при её посещении тут же окажется в опасности. Хакеры могут получить доступ к данным, хранящимся в памяти браузера. Это может быть история поисковых запросов, адреса, данные банковских карт и прочее.
Впрочем, данная уязвимость была обнаружена ещё в ноябре прошлого года, а Intel уже представила бета-версию микрокода для OEM-производителей, чтобы те могли выпустить обновления с исправлением ошибки. Правда это, как и в случае с Meltdown и Spectre, приведёт к снижению производительности систем. по словам Лесли Кулбертсон, руководителя службы безопасности Intel, в тестах вроде SYSmark 2014 SE падение производительности колеблется в пределах 2-8%.
«Мы продолжаем работать с затронутыми производителями процессоров и уже предприняли более глубокие меры защиты для устранения уязвимостей вредоносного исполнения в наших продуктах и сервисах. Нам неизвестен какой-либо экземпляр, использующий этот эксплойт, который бы влиял на Windows или нашу инфраструктуру облачных сервисов. Мы стремимся к дальнейшему смягчению последствий для наших клиентов», — рассказал представитель Microsoft.
Источник:
Спасибо, паранойей не страдаем
Это хорошо. А при чем здесь паранойя? Разговор о практичности, безопасность - это бонус. Хромом принципиально не пользуюсь на смарте, равно как и виндой на пк. Tails os рулит.
Троллинг опознан.
Благодарю. А где именно?
В вашем комментарии
А это Вам явно показалось. Не страдаю подобным. Всегда объективен.
Свою дебиан нужно самим собирать.
И это можно, если вознинет необходимость). Нет ничего невозможного. Есть лишь ленивые люди, которым проще махнуть рукой на безопасность со словами: "ой, да нет у меня там стоящей инфы!"
Так и есть. Нет смысла бежать от смерти - слышали такое? Говорю это к тому, что какой бы браузер вы не использовали, какой бы системой не пользовались, да хоть на собственном процессоре будете работать - лазейки найдутся. Пока ваше устройство подключено к интернету, вы потенциальный "клиент" для любителей халявы, если хотите. Но это не повод отказаться от всего и уйти жить в лес, ибо и там вас бомжи достанут.
Излишняя паранойя, не более. Хоть карточкой не пользуйтесь и храните все деньги в кармане на трусах, вас в подворотне гопники отоварят и останетесь ни с чем. Никто ни от чего не застрахован.
Как раз таки есть)
Люди, которые махнули рукой на удобство и функциональность чтобы спастись от мнимой опасности называются параноики.
Во-первых, здравствуйте. Во-вторых, Вы молодец - мыслите. Но...к сожалению, не верно. Хотя, попытка зачетная).
На досуге можете почитать о разнице между паранойей и конфиденциальностью. А ещё можете попробовать вести свой бизнес не ставя "диагнозов". Непременно держите в курсе. Это важно.
Наличие паранойи не означает отсутствие слежки. Адмирал форестол гарантирует
Вы ведь в курсе, что человек в принципе не может быть объективен
Критичность мышления помогает быть как можно более объективным.
Как можно более, но далеко не объективным. Чтобы быть объективным, человеку минимум нужно не иметь эмоций, плюс иметь абсолютно идентичный другим мозг, а также память. Тогда люди будут тоже не объективным, но одинаково субъективны, что уже шаг вперед (вперёд ли?)
Совершенного в нашем мире нет ничего и при желании можно найти изъян в чём угодно, но лучше начинать с себя и образа собственного мышления. Объективность или субъективность - всё относительно. Важно прилагать усилия и не обманываться.
Уж лучше винду поставить, быстро и безопасно
Ubuntu+ tails os с внешнего носителя. Вот это просто и безопасно.
Как минимум не просто, ну и не безопасно тоже
Странно, но миллионы пользователей придерживаются иного мнения. Наверное, они ошибаютс.
но канноникал же спалили пару лет назад на том, что они отсылают пользовательские данные. Противоречиво как-то...
ну ну и как много куда вас пускают из тор сети?
Да нормально пускает при грамотной настройке, пока не жалуюсь. Тем более, что никто не мешает использовать связку double vpn.
причем тут настройка, я так понимаю у вас сеть внешне имеет адреса тор сети? если так то нормальный сервис такие ип блочит нафиг ибо кому нужны всякие мутные личности на сайте...
Как раз-таки всякие мутные сервисы и блочат, ибо нормальные сервисы понимают, что тором могут пользоваться все, а том числе и нормальные личности, блочить которых значит расписаться в своём бессилии и животном страхе просто перед пользователем с тор-IP.
Везде включая сайты роскомнадзора
Тссс...но это же секрет?!)))
Каждый 2й сервер от ФСБ, но ты.. Тсс!
Юзайте double vpn и дедики), кто мешает? По теме тор много споров в плане шифрования. Технические сложно выполнимо то, о чем Вы говорили, пусть хоть каждый 1й сервер. Наши руки не для скуки ведь), а голова - не только, чтоб шапку носить))
Tails OS? Ещё один Linux? Шутку понял.
Да нет, шутки не было... Ubuntu как стационарная ос, tails - как портативная с внешнего носителя. Великолепная степень конфиденциальности у tails, не максимально возможная, конечно.
Как можно в 2018 пользоваться Linux?
Тоже не понимаю этих мазахистов
просто
Хм, а зачем в 2018 пользоваться виндой?
Так мазохисты тоже люди.
Винда заставит;)
Tails уже давно скомпрометирован. Для большей надёжности нужно использовать либо стары сборки (до 2015-го года), либо ставить что-то на подобии JONDO. По факту система является частью TOR, что позволяет куда эффективнее противостоять вторжению из вне.
Нахрена вообще комп, если ОС урезана по самые помидоры, адекватный софт отсутствует в принципе, а из-за двойных VPN и юзания тора скорость падает до пары мегабит в секунду? Это я ради этого за гигабитку плачу?
Интернет без контента. Зачем тогда этот 21-й век?
Благодарю за заботу, уважаемый. Я использую в связке хороший, качественный vpn от proton. По поводу tails os - рекомендую для начала ознаклмиться на деле, а не по обзорам. Использую для работы при необходимости сохранения конфиденциальности, передачи корпоративных данных и тд. Основной же пк без доступа к сети. По поводу вычисления первоисточников ip - это мне всё равно), ибо пусть отрабатывают зарплату.
Его болезнь позволяет ему без гугла поставить диагноз Паранойя. И, надо сказать, он просёк оппонента. )
Да, конечно. Вы вообще оба молодцы - без гуглов справляетесь с жизненными ситуациями). Красавчики, как оно есть.
На Андроиде есть duckduckgo и прекрасно работает, а на пк tails os решает любые вопросы)
решает вопросы с играми тем что их там нет?
Я не играю в игры. А кто говорил про игры, вы видели здесь комментарии от меня про игры?) Наверное нет, потому что речь о безопасности.
Но вы же советуете свою ос обычным людям. А обычным людям сложно представить себе сценарий, когда такая безопасность вообще нужна.
Она не моя - эта ос, к сожалению). А в ней ничего сложного нет, кстати, она едва ли не проще, чем винда и явно надежнее. Хотя, играть и заниматься прочим непотребством на этой оси не удастся к счастью, или к сожалению). Уровень безопасности хороший, согласен, но не запредельный. Лучший уровень безопасности - это пк, который не подключен к внешней и внутренней сети.
вопрос еще зачем нужен такой уровень безопасности. Я так понимаю эта ос один из видов линукса?
Верно, за основу взят Linux. Проработана до мелочей в плане конфиденциальности. Зачем? Для работы, для ведения бизнеса и предотвращения утечки данных.
Для работы с программами, которых под Линукс нет и ведения бизнеса через софт, которого под Линукс нет. Блестяще. Так уж и скажите, что так можно посидеть в интернете, теша своего внутреннего Неуловимого Джо мнимой безопасностью.
Сударь, да вы критик и знаток всех программ, которые есть под tails os? Настоятельно рекомендую ознакомиться непосредственно с этой os, прежде, чем делать подобные заявления.
Для серьезной работы имеется отдельный пк без доступа к внешней сети, именно на нем выполняются рассчёты и прочее. А вот для передачи данных и менее емких работ исподьзуется пк с tails os. Уверяю, и под этой ос достаточно программ для комфортной работы.
Да похвалите уже наконец его Дукдукгогу, кто-нибудь! )
Да не нужно), спасибо. Кому нужно, тот знает и юзает. Но здесь больше всего пользователей из разряда "Ой, всё".
Утки красивые. Я его похвалил, можно взять пирожок с полочки?
Наверное. А почему Вы мне этот вопрос задали? Я ведь никого не призывал ничего хвалить или ругать... Странно, но ничего страшного - бывает.
Палец толстый. Промазал, каюсь (
Это случается... Вот если бы Вы в ракетных войсках служили, то цены бы Вам не было и у нашей страны было сейчас меньше проблем.)
Вивальди на хроме собран если не ошибаюсь, а значит особо не отличается от остальных 90% браузеров)
Это уязвимости процессора, а не браузера или ос.
Это понятно. Но связка хорошей ос +vpn и норм.браузер явно добавят шансов уцелеть, не так ли? А уязвимости всегда были, есть и будут.
Представь себе, не добавят
Если у тебя в фундаменте заложена бомба, тебе не помогут бронированные двери и консьерж в ливрее на входе.
шооо? опять?
Что именно опять (снова) ?
занижение производительности заплатками, до этого из-за пети и вана край
Да это ерунда всё. Пусть на совести производителей и разрабов остаётся. Будем просто ручками исправлять ситуацию с конфиденциальностью (но не с уязвимостями).
только текстовый браузер! А лучше вообще читать страницы в исходниках!
А ещё лучше - писать комментарии, чтобы их писать, не так ли?
первый раз слышу о существование утиный браузер
с чего вы взяли что он безопасен ?
Существование общепризнанно, равно как и безопасность. На эту тему есть масса ресурсов и постов.
Скорее всего понижение хорошее будет на i5, i7, а вот на i9 будет не большое, надо ж как-то поднимать продажи (;
В точку)
Сейчас опять новый патч выкатят, который уменьшит производительность на 10... 20%, вдогон к уже отнятым 10%.
А там не за горами и "новое" поколение процессоров, которое, вот ведь прорыв, будет на 20% быстрее текущих, но с патчами))
поэтому сижу спокойно на ай5 3го поколения и в ус не дую все равно скоро все новые процы будут хуже моего работать =)
Они там тоже есть, просто нашли (или по крайней мере разгласили) только сейчас.
А есть способ обойти данные заплатки, если безопасность не сильно беспокоит?
Не обновлять биос и ОС.
В гугле можно найти номер обновления и как его удалить.
проценты не складываются, 100 никогда не будет
Ну а херли,- один раз прокатило же, чего бы и не продолжить. Дальше будет в стиле : "некогда объяснять,- вот вам новый патч безопасности снижающий производительность".
Сначала наделают закладок в железе, а потом удивляются: ой, а кто это делает?
Надо же стимулировать,- стараются как могут.
новые процы так же подвержены этим ошибкам, ждите 2020-го... но не факт, что не найдут что-либо другое
Таки можно удивляться, можно нет.
Но если сунуться в виндовый раздел system32 (ядро) - то минимум половина, если не 2/3 dll - остались неизменными со времен Win3 ))
Вы только сейчас узнали что Windows была надстройкой над DOS?
Вообще то я про другое)
Это эволюция, выживают не лучшие, а наиболее адаптированные. Итаник столкнулся с Кувалдой и сделал бульк.
Уходить на Байкал? А это мысль...
Говорят, там уже китайцы вовсю осваиваются... :)
Это нормально. По крайней мере, они работать умеют.
Мол, занизили на 10%, увеличили на 7% и норм
Хорошо если действительно ошибки, а не специально оставленные чёрные ходы для спецслужб.
А инфа о них не запланировано всплыла в общем доступе.
Так то и есть закладки
Пробовал вин 3.1?
Пробовал, 20 лет назад
Было бы приятно))
Вот только на JS написано дофига сайтов
Опять только в Intel подтверждённое падение производительности и опять тут на всех это падение экстраполируют.
Да и сам пример убог.
Уязвимость любую память читает, не только браузерную.
Буфер обмена более нагляден, любой кэш и иже с ним.
Вот как раз на таких "у меня нечего воровать" и строится бизнес по аналитике, контекстной рекламе и базам данных потенциальных покупателей)
гугл с микрософтом и без уязвимостей тырят всё до чего могут дотянуться.
Блин, хорошо, что я сижу на core2duo и не жалуюсь на тормоза всяких там i5 и ежей с ним.... Современный маркетинг больше походит на втюхивание покупателю ненужного товара!
Угу ((
может лучше тогда финансово компенсировать ущерб всем купившим эти косячные процы ? лично я эти косяки не покупал, это что меня получается обманули ? верните деньги !
не ну реально, в таком случае у меня должны принять старый проц обратно и выдать новый без уязвимости !!! по другому никак
или Эльбрус?
Больше похоже на заговор для продажи новых железок....
Многие уже пошутили на этот счет, но скоро, наверно, люди вообще перестанут новые компы покупать, т.к. ничего путного на них нельзя будет поставить. Будут сидеть на старых ПК, еще поддерживаемых 7-кой;)
Будут сидеть на старых ПК, еще поддерживаемых 7-кой;)
Стааарых ПК АААаааааа у меня до сих пор на производстве машин 20 работают сейчас там ХП а раньше NT вообще стояла и даже они не самые древние есть и на досе. Мдя как сказал один из наших чиновников от образования: Нам не нужны специалисты нам нужны грамотные покупатели
Это для параноиков проблема (которые до сих пор заклеивают веб камеры
а по моему любой вменяемый человек заклеивает камеры, ибо понимает их истинное назначение
На станционном ПК нечего беспокоиться. Ноуты может да действительно
ноуты, смартфоны, планшеты и тд
Меня одного удивляет отсутствие смартфонов с закрывающейся крышкой для камеры или даже хотя-бы подобных чехлов ?
Их вообще нет. Современные смартфоны вообще должны выдавать как минимум бесплатно, а так ещё и приплачивать пользователям за то что они сами за собой следят и выкладывают отчёты в сеть.