GhostRace, un nuovo attacco alle CPU: non c'è architettura o sistema operativo che resista

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/cpu/gh...ta_125326.html

GhostRace è un nuovo attacco all'esecuzione speculativa delle CPU che colpisce indistintamente tutte le architetture e i sistemi operativi. L'attacco è stato messo a punto dai ricercatori di VUSec, insieme al Systems Security Research Group di IBM Research Europe.

Click sul link per visualizzare la notizia.

[UtenteHD]

Ho letto che non lo stanno fixando molto, molti lo hanno parzialmente fixato con riduzione di prestazioni del 5% e ci vanno con calma per trovare un fix senza calo di prestazioni ed AMD ha "detto" che i precedenti fix bastano, (se realmente pericoloso questo bug) spero lo fixino a breve e completamente.

[lollo9]

in realtà è ancora prematuro parlare di mitigazioni od impatti prestazionali.

la correzione suggerita dallo stesso VUSec (che ne ha proposta una, solo software e specifica per linux), era stata effettivamente implementata già a febbraio (sono almeno 50 commit, questo è l'ultimo), ma si tratta soltanto di una mera mitigazione che irrobustisce lo stack contro il inter process interrupt storming, il quale è a sua volta parte delle tecniche per sfruttare Ghostrace.
il 5% di potenziale impatto è saltato fuori da qui su alcuni benchmark sintetici testando questa mitigazione. ed in sostanza si sono detti "visto che non corregge na mazza e costa il 5%, lasciamola perdere".

quelli di Xen, il cui lavoro è usato a piene mani da chi fa hypervisors e virtualizzazione hanno fatto qualche bollettino con raccomandazioni varie e qualche patch, ma non risulta per ora che il problema possa scavalcare le sandbox classiche, che era la preoccupazione di gran lunga più grave.

da capire ancora la posizione di AMD che se n'è uscita quasi minimizzando il tutto (ok, è meno grave di quanto non possa apparire ad una prima occhiata), ma senza fornire studi, PoC o prove varie.

da capire anche l'impatto sul mondo IoT.
o meglio, su tutti i dispositivi smart che un minimo di potenza di calcolo ce l'hanno, che hanno "veri" sistemi operativi diffusi, da cui passano parecchi "caxxi propri" della gente, ma che non ricevono sempre aggiornamenti tempestivamente. ad esempio i chromecast, gli htpc android, i dispositivi alexa, smart tv, router/decoderTV e questo genere di cose.

[supertigrotto]

Vuoi vedere che la Von Neumann ormai è da rivedere tutta?
Ovvero il sistema di come i calcolatori fanno ad eseguire le istruzioni?
Forse i creatori di Monza non hanno tutti i torti?
Già impiegando i memristori la Von Neumann non sarebbe più praticabile,cambiando proprio il sistema di esecuzione delle istruzioni.

[Opteranium]

Quote:

Originariamente inviato da lollo9

da capire anche l'impatto sul mondo IoT.
o meglio, su tutti i dispositivi smart che un minimo di potenza di calcolo ce l'hanno, che hanno "veri" sistemi operativi diffusi, da cui passano parecchi "caxxi propri" della gente, ma che non ricevono sempre aggiornamenti tempestivamente. ad esempio i chromecast, gli htpc android, i dispositivi alexa, smart tv, router/decoderTV e questo genere di cose.

per me è questo il vero incubo, e sarà sempre più un problema, visto il moltiplicarsi di dispositivi iot, spesso inutilmente connessi (vedi spazzolino da denti e compagnia) ma comunque basati su hardware e software dal supporto scarso o inesistente

[UtenteHD]

Quote:

Originariamente inviato da lollo9

in realtà è ancora prematuro parlare di mitigazioni od impatti prestazionali.

la correzione suggerita dallo stesso VUSec (che ne ha proposta una, solo software e specifica per linux), era stata effettivamente implementata già a febbraio (sono almeno 50 commit, questo è l'ultimo), ma si tratta soltanto di una mera mitigazione che irrobustisce lo stack contro il inter process interrupt storming, il quale è a sua volta parte delle tecniche per sfruttare Ghostrace.
il 5% di potenziale impatto è saltato fuori da qui su alcuni benchmark sintetici testando questa mitigazione. ed in sostanza si sono detti "visto che non corregge na mazza e costa il 5%, lasciamola perdere".

quelli di Xen, il cui lavoro è usato a piene mani da chi fa hypervisors e virtualizzazione hanno fatto qualche bollettino con raccomandazioni varie e qualche patch, ma non risulta per ora che il problema possa scavalcare le sandbox classiche, che era la preoccupazione di gran lunga più grave.

da capire ancora la posizione di AMD che se n'è uscita quasi minimizzando il tutto (ok, è meno grave di quanto non possa apparire ad una prima occhiata), ma senza fornire studi, PoC o prove varie.

da capire anche l'impatto sul mondo IoT.
o meglio, su tutti i dispositivi smart che un minimo di potenza di calcolo ce l'hanno, che hanno "veri" sistemi operativi diffusi, da cui passano parecchi "caxxi propri" della gente, ma che non ricevono sempre aggiornamenti tempestivamente. ad esempio i chromecast, gli htpc android, i dispositivi alexa, smart tv, router/decoderTV e questo genere di cose.

Ah ecco, ora e' tutto piu' chiaro, si uso sia Win che Linux Mint.
Ora ho capito molto di piu' di tutti sti articoli circolanti.
Grazie mille.

Per IOT, antifurti IOT e tutte le cose inutilmente collegate ad internet, beh le evito come la peste.
Di sicuro come minimo nel router di casa bisogna attivare il firewall interno che e' sempre disattivato di standard, ma come minimo..

[aqua84]

Anche qui la Speculazione fa danni…