Link alla notizia: https://www.hwupgrade.it/news/cpu/cpu-intel-e-amd-torna-l-incubo-spectre-varianti-lasciano-miliardi-di-pc-indifesi_97409.html

Un team di ricercatori dell'Università della Virginia ha scoperto nuove varianti dell'attacco Spectre non coperte dalle mitigazioni odierne. Al centro dell'attacco c'è la micro-op cache, introdotta sulle CPU a partire dal 2011.

Click sul link per visualizzare la notizia.

Interessante.
Bisogna capire se è una cosa facile da sfruttare o meno.
Perchè se basta un javascript su una pagina web per sfruttarlo ci potrebbero essere in effetti una sacco di problemi.

Anche arm è soggetta alla vulnerabilità ?

Anche arm è soggetta alla vulnerabilità ?

La citano nell'abstract parlando genericamente delle CPU con micro-op cache, ma non ne scrivono in altre parti, immagino non abbiano fatto test mirati su ARM. Quindi non credo di poterlo escludere in questo momento.

Se questa news fosse stata scritta nel 2019, avreste usato la parola "VARIANTI" nel titolo???

Se questa news fosse stata scritta nel 2019, avreste usato la parola "VARIANTI" nel titolo???

Sì (https://www.hwupgrade.it/news/sicurezza-software/spectre-variante-4-ecco-il-nuovo-bug-dei-processori-intel-amd-e-arm_76050.html)

Interessante.
Bisogna capire se è una cosa facile da sfruttare o meno.
Perchè se basta un javascript su una pagina web per sfruttarlo ci potrebbero essere in effetti una sacco di problemi.

Anche arm è soggetta alla vulnerabilità ?

non so nel caso di questa variante ma nel caso precedente erano vulnerabili tutti
amd
intel
ibm
arm
oracle
ecc
tutte le cpu di tutte le nature

diciamo che è un bel incentivo a cambiare di nuovo tutte le cpu e tutti i chipset e tutte le piattaforme...e dar di nuovo linfa vitale (soldi) al mercato stagno dei PC e dell'elettronica in genere (anche un router ha un ARM)

diciamo che è un bel incentivo a cambiare di nuovo tutte le cpu e tutti i chipset e tutte le piattaforme...e dar di nuovo linfa vitale (soldi) al mercato stagno dei PC e dell'elettronica in genere (anche un router ha un ARM)

è inutile cambiare tutto visto che le nuove cpu hanno comunque gli stessi problemi

diciamo che è un bel incentivo a cambiare di nuovo tutte le cpu e tutti i chipset e tutte le piattaforme...e dar di nuovo linfa vitale (soldi) al mercato stagno dei PC e dell'elettronica in genere (anche un router ha un ARM)

a si? sei un pezzo grosso della politica o della finanza quindi hai bisogno della massima sicurezza possibile?

Sì (https://www.hwupgrade.it/news/sicurezza-software/spectre-variante-4-ecco-il-nuovo-bug-dei-processori-intel-amd-e-arm_76050.html)

Gli é andata stavolta su...

a si? sei un pezzo grosso della politica o della finanza quindi hai bisogno della massima sicurezza possibile?

In genere chiunque ci tiene ai propri soldi specie se li ha guadagnati lavorando... Se poi a te sta bene che ti svuotano il conto in banca... fatti tuoi.

non so nel caso di questa variante ma nel caso precedente erano vulnerabili tutti
amd
intel
ibm
arm
oracle
ecc
tutte le cpu di tutte le nature

Non tutte le cpu e non di tutte le nature mi pare. Le architetture in-order certamente ormai fuori moda sia in ambito x86 che in ambito ARM non erano vulnerabili a (credo tutte) le problematiche. Il problema e' che ormai sono vetuste e quelle "recenti" (es. ARMv8 Cortex A53) sono decisamente meno prestanti e ormai vecchie.
Comunque imho e' un po' come l'epoca che viviamo un problema "ciclico" che tra l'altro non esclude che le stesse problematiche non possano essere malauguratamente da terzi raggiunte per mezzo di chissà quanti altri bug non solo a livello hw ma anche a livello sw. Se ogni software ormai ha praticamente un aggiornamento ciclico a tappare bug continuativamente il problema puo' nascere da un browser vecchio come una dipendenza non aggiornata, un drivers vecchio, un sw malevolo etc..etc..
Alla fine anche questa rincorsa all'aggiornare l'aggiornabile mi pare poi concettualmente non necessariamente perfetta.

L'importante è che l'eventuale patch, soprattutto se impatta le performance, sia installabile a discrezione dell'utente e non imposta da sistema operativo.
A me che vengano a tentare di rubarmi dati attraverso Spectre non frega nulla

Finché sono difficili da sfruttare si può stare tranquilli.
Di certo non è fattibile perdere performance o ricomprare un nuovo pc; n quel caso sarebbe corretta una richiesta di risarcimento danni a intel/amd.

L'insegnamento è: il progresso lo puoi fare ma deve essere resiliente\ rilevante e sostenibile.

Se predici, e lo fai a qualsaisi costo presti il fianco a chi può leggere queste informazioni. Conoscere il proprio utente è molto pericoloso.
Non voglio dire niente poi di windows ma quanti software potrebbero predire l'utente o lo fanno già in background, mi viene in mente ripeto anche il sistema operativo.

Purtroppo sono state accantonate le funzioni base per fare soldi, perché tutto ciò che può generare profitto ormai è sdoganato... che tristezza.

Una tecnologia non può essere sviluppata o usata se non è sicura. Qui nadiamo davvero olte il codice etico che esiste. Fa capire che tipo di persone stiano entrando in questi mondi che sviluppano hardware software tecnolgia digitale...
Certo che alcune cose potrebbero non essere previste in progettazione (mi sembra molto strano) in questo caso. Ogni cosa che fai ha dei problemi.

Immagino le scelte di alcuni: di farsi l'ultima cosa uscita per poter avere cmq un oggetto potente o magari prendere pc vecchi o altro per rimanere sicuri ... se questa cosa e come questa cosa verrà risolta poterà forse a serie conseguenze nei comportmaenti di chi è informato... se non tutti i consumatori PC

Oddio è come col CoViD... non se ne esce più!

Bisognerà vedere in che modo i vari processori ne saranno affetti, con le prima versioni di questi attacchi alcune architetture erano ben più vulnerabili di altre.

Attendo l'aggiornamento di inspectre :asd:

L'insegnamento è: il progresso lo puoi fare ma deve essere resiliente\ rilevante e sostenibile.

Se predici, e lo fai a qualsaisi costo presti il fianco a chi può leggere queste informazioni. Conoscere il proprio utente è molto pericoloso.
Non voglio dire niente poi di windows ma quanti software potrebbero predire l'utente o lo fanno già in background, mi viene in mente ripeto anche il sistema operativo.

Purtroppo sono state accantonate le funzioni base per fare soldi, perché tutto ciò che può generare profitto ormai è sdoganato... che tristezza.

Una tecnologia non può essere sviluppata o usata se non è sicura. Qui nadiamo davvero olte il codice etico che esiste. Fa capire che tipo di persone stiano entrando in questi mondi che sviluppano hardware software tecnolgia digitale...
Certo che alcune cose potrebbero non essere previste in progettazione (mi sembra molto strano) in questo caso. Ogni cosa che fai ha dei problemi.

Immagino le scelte di alcuni: di farsi l'ultima cosa uscita per poter avere cmq un oggetto potente o magari prendere pc vecchi o altro per rimanere sicuri ... se questa cosa e come questa cosa verrà risolta poterà forse a serie conseguenze nei comportmaenti di chi è informato... se non tutti i consumatori PC

Imho a meno che non si parli di ambiti industriali e aziendali ove la sicurezza deve giustamente essere al top per evitare ogni qualsivoglia problematica, se si parla di utente "home" imho bisogna un attimo realizzare quale strumento digitale serve a cosa. La ricerca assoluta di sicurezza da un utente e' imho esagerata quanto la ricerca delle prestazioni assolute in sè per guadagnare un decimo di secondo in meno nella esecuzione di un task qualsiasi se per arrivare a quelle prestazioni devi consumare 1500W di corrente o aggiornare tutto il PC ogni mese.

Immagino ci sia chi si preoccupa di attacchi all'ultimo bug suddetto scoperto senza ricordarsi della smart-tv magari con kernel di una decade fa non aggiornabile o un tablet o smartphone con simili logiche etc.. E mi pare che spesso si sia parlato di IoT e relativi dispositivi che teoricamente sono tutti duplicati di "computer" in un SoC che alla fine in una casa standard fanno tutti le stesse cose.

Imho e' meglio riflettere per cosa la tecnologia serve l' utente home. Alla fine sarà perche' da tempo non ho piu' la voglia/pazienza di correre dietro all'ultimo aggiornamento che ci si rende conto imho che "per la massa" si continua a reinventare la ruota perche' cambia l' asfalto non perche' la ruota non va piu' bene.

No non è possibile ancora sta storia non riesco a crederci e non ci credo. Per me possono mettersi la patch in quel posto a me sa tanto di obsolescenza programmata. Continuano a vendere ma più che altro memorie ram flash e schede video ma le CPU se non sei a 4k campa cavallo mentre il mercato è al top e scricchiola. Ditemi solo come evitarla e come togliere quella precedente.

No non è possibile ancora sta storia non riesco a crederci e non ci credo. Per me possono mettersi la patch in quel posto a me sa tanto di obsolescenza programmata. Continuano a vendere ma più che altro memorie ram flash e schede video ma le CPU se non sei a 4k campa cavallo mentre il mercato è al top e scricchiola. Ditemi solo come evitarla e come togliere quella precedente.

Non vuoi la patch? installa xp

Se questa news fosse stata scritta nel 2019, avreste usato la parola "VARIANTI" nel titolo???

Sì (https://www.hwupgrade.it/news/sicurezza-software/spectre-variante-4-ecco-il-nuovo-bug-dei-processori-intel-amd-e-arm_76050.html)

:asd: :asd:

Bisogna capire se è una cosa facile da sfruttare o meno.

il nocciolo credo si nasconda proprio lì..

La ricerca peraltro è già in chiaro (http://www.cs.virginia.edu/venkat/papers/isca2021a.pdf) (ci si arriva peraltro facilmente dalle risorse rese disponibili da questa notizia) e non so onestamente se abbiano già condiviso troppo (qui si va secondo me almeno su un discorso complesso, per di più non so neppure quanto sia facile costruire un PoC partendo dalle loro considerazioni però, visto che il problema è potenzialmente distruttivo perché vanifica security_boundaries e compagnia bella, avrei tenuto ancor più celati i dettagli condividendoli giusto con l'industria e poi, se il problema fosse stato quello dei 'crediti' nell'ipotesi in cui fosse arrivata una seconda ricerca analoga, l'industria stessa poteva attribuire a un Cesare precedente la scoperta fornendo le prove 'al sistema del sale nella zucca' e ringraziando evidentemente anche i secondi insomma, non lo so)..


La mia preoccupazione cmq è 0 ma ho tante domande in merito alla ricerca e, più che altro, al modo in cui viene diffusa (specie se, come dicevo, risulti non controllata qualora un altro soggetto evidentemente preparato riesca a trarci concretamente qualcosa...e si, ci sono tante intelligenze che lavorano per il lato_oscuro_della_forza, vagli anche a spiattellare in chiaro come sviluppare nuovi attacchi!)

Come detto da altri, la necessità di sicurezza è relativa.
Standard elevatissimi richiedono, ad esempio: forti limiti della connettività, macchinari complessi (avete tutti firewall dedicati, ad esempio?), hw costoso ed aggiornato, dispendi di tempo ingenti ecc.; questo perché è inutile pensare ad un difetto hw nel pc difficilmente sfruttabile, quando (ad esempio) il mio modem/router è tra i miliardi di dispositivi che presentano una famosa vulnerabilità wifi a/c (ricordo che fino a poco fa per l'fttc non potevi cambiare l'apparecchio in dotazione con un tuo, al massimo potevi fare un ponte tra il loro modem ed un tuo router).

Per concludere è come con la casa: potreste vedervela svaligiata dai ladri, ma avete tutti casseforti, telecamere, allarmi, persiane blindate sempre chiuse anche se uscite solo 5 minuti ecc.? No, fate un compromesso tra il tempo/denaro/cosa avete da proteggere.
Perciò monitoriamo la cosa ma non fatevi prendere dal panico.

La citano nell'abstract parlando genericamente delle CPU con micro-op cache, ma non ne scrivono in altre parti, immagino non abbiano fatto test mirati su ARM. Quindi non credo di poterlo escludere in questo momento.
Non si può escludere, ma mi sa che i rischi sono più limitati per questioni di approccio architetturale.
Se ricordo bene, solo gli ARM di fascia alta più recenti hanno una micro-op cache ed attualmente non ci sono inplementazioni con multithreading (che è necessario in uno dei tre metodi descritti dai ricercatori).