Vlákno názorů k článku
Závažné chyby Meltdown a Spectre odhalil teprve 22letý výzkumník Googlu
od fd - Pokud nevadi, ze aplikace muze pristupovat k datum...
-
Já bych mu to ani neměl moc za zlý, kdyby se z toho ovšem naši bezpečáci nezbláznili a nechtěli zazáplatovat pomálu i kliku od dveří, protože by za ni mohl vzít zločinec.
Pořád jsem nikde nedostal uspokojivou odpověď na otázku, jestli se musí záplatovat i guest OS (ve virtuálkách), když je zazáplatován host OS. Protože pokud ano, tak se to zpomalení způsobené záplatami OS bude kumulit. Ale z principu (ne, že bych přesně dopodrobna rozuměl tomu zneužití, ale určitou představu mám) mi přijde, že zneužitelnosti toho spekulativního provádění by se mělo dát zabránit už na té virtualizační úrovni s tím, že ta záplata fakticky znemožní zneužití z toho virtualizovaného OS, který už je „škrcen“ tím, co běží nad ním. Naši bezpečáci si zatím stojí za tím, že se musí záplatovat jak host, tak guest. Ale moc přesvědčivě na mě hoši nepůsobí.
-
P2010 (neregistrovaný)
U Spectre musí https://access.redhat.com/articles/3311301
CVE-2017-5715 (variant #2/Spectre) is an indirect branching poisoning attack that can lead to data leakage. This attack allows for a virtualized guest to read memory from the host system. This issue is corrected with microcode, along with kernel and virtualization updates to both guest and host virtualization software. This vulnerability requires both updated microcode and kernel patches
ČLÁNKY DO MAILU