Nuova vulnerabilità ZombieLoad scoperta sui chip Intel

Nuova vulnerabilità ZombieLoad scoperta sui chip Intel

L'indagine relativa alle vulnerabilità dipendenti dalle tecniche di esecuzione speculativa è andata avanti dal momento in cui sono stati rivelati Meltdown e Spectre. Sono stati pubblicati nuovi dettagli sullo stato di sicurezza dei processori Intel

di , Riccardo Robecchi pubblicata il , alle 20:25 nel canale Sicurezza
Intel
 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

57 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
coschizza16 Maggio 2019, 08:58 #11
Originariamente inviato da: Sandro kensan
3% di qua, 3% di la, alla fine cosa rimane?


non si perde il 3%
Burke16 Maggio 2019, 11:23 #12
Dall'articolo: per far funzionare questo attacco, alle vittime della dimostrazione è stato richiesto di eseguire ripetutamente il comando passwd, in modo da innescare un'alta probabilità che il contenuto del file si trovi in ​​uno dei buffer

praticamente devi stare li a digitare password 800 volte perchè il malware becchi il momento giusto della speculazione.

Ma al di là di tutto questo, ci sono casi conclamati e dimostrati in cui queste famigerate falle hanno permesso furti di dati, o siamo sempre nel campo delle ipotesi?
aqua8416 Maggio 2019, 11:34 #13
Originariamente inviato da: Burke
Dall'articolo: per far funzionare questo attacco, alle vittime della dimostrazione è stato richiesto di eseguire ripetutamente il comando passwd, in modo da innescare un'alta probabilità che il contenuto del file si trovi in ​​uno dei buffer

praticamente devi stare li a digitare password 800 volte perchè il malware becchi il momento giusto della speculazione.

Ma al di là di tutto questo, ci sono casi conclamati e dimostrati in cui queste famigerate falle hanno permesso furti di dati, o siamo sempre nel campo delle ipotesi?

No.
E' "SPECULATIVA" sia la funzione della cpu che tutta la notizia
Mparlav16 Maggio 2019, 16:56 #14
https://www.techpowerup.com/255563/...s-vulnerability

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Intel's security vulnerability bounty program is shrouded in CYA agreements designed to minimize Intel's losses from the discovery of a new vulnerability. Under its terms, once a discoverer accepts the bounty reward, they enter into a NDA (non-disclosure agreement) with Intel, to not disclose their findings or communicate in the regard with any other person or entity than with certain authorized people at Intel. With public knowledge withheld, Intel can work on mitigation and patches against the vulnerability. Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability. This is an argument the people at VU weren't willing to buy, and thus Intel is forced to disclose RIDL even as microcode updates, software updates, and patched hardware are only beginning to come out.
Burke16 Maggio 2019, 16:59 #15
Intel sostiene che l'informazione delle vulnerabilità che diventano pubbliche prima di avere la possibilità di affrontarle darebbe ai malintenzionati il ​​tempo di progettare e diffondere il malware che sfrutta la vulnerabilità.

Credo non abbiano tutti i torti, come dire ad un incontro di pugilato "picchiami qui che così vado a tappeto all'istante", quando l'avversario ancora non ti conosce.
emiliano8416 Maggio 2019, 17:18 #16
Originariamente inviato da: Burke
Intel sostiene che l'informazione delle vulnerabilità che diventano pubbliche prima di avere la possibilità di affrontarle darebbe ai malintenzionati il ​​tempo di progettare e diffondere il malware che sfrutta la vulnerabilità.

Credo non abbiano tutti i torti, come dire ad un incontro di pugilato "picchiami qui che così vado a tappeto all'istante", quando l'avversario ancora non ti conosce.


andrebbe spiegato a google
digieffe16 Maggio 2019, 19:37 #17
una volta c'erano i 90 (o 60 ?) giorni di ritardo nella pubblicazione proprio per dare tempo di creare la patch...
maxsin7216 Maggio 2019, 20:25 #18
Originariamente inviato da: Mparlav
https://www.techpowerup.com/255563/...s-vulnerability

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Intel's security vulnerability bounty program is shrouded in CYA agreements designed to minimize Intel's losses from the discovery of a new vulnerability. Under its terms, once a discoverer accepts the bounty reward, they enter into a NDA (non-disclosure agreement) with Intel, to not disclose their findings or communicate in the regard with any other person or entity than with certain authorized people at Intel. With public knowledge withheld, Intel can work on mitigation and patches against the vulnerability. Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability. This is an argument the people at VU weren't willing to buy, and thus Intel is forced to disclose RIDL even as microcode updates, software updates, and patched hardware are only beginning to come out.


I soliti metodi "onesti" di intel
cdimauro16 Maggio 2019, 22:46 #19
Originariamente inviato da: Burke
Intel sostiene che l'informazione delle vulnerabilità che diventano pubbliche prima di avere la possibilità di affrontarle darebbe ai malintenzionati il ​​tempo di progettare e diffondere il malware che sfrutta la vulnerabilità.

Credo non abbiano tutti i torti, come dire ad un incontro di pugilato "picchiami qui che così vado a tappeto all'istante", quando l'avversario ancora non ti conosce.

This.
Originariamente inviato da: emiliano84
andrebbe spiegato a google

This.
Originariamente inviato da: digieffe
una volta c'erano i 90 (o 60 ?) giorni di ritardo nella pubblicazione proprio per dare tempo di creare la patch...

This.
Originariamente inviato da: maxsin72
I soliti metodi "onesti" di intel

E qui, invece, c'è il solito che non ha capito niente della faccenda, e ne approfitta per infangare l'odiato nemico.

[I][INDENT]"Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability."[/INDENT][/I]
maxsin7217 Maggio 2019, 00:50 #20
Originariamente inviato da: cdimauro

E qui, invece, c'è il solito che non ha capito niente della faccenda, e ne approfitta per infangare l'odiato nemico.

[I][INDENT]"Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability."[/INDENT][/I]


Qui chi non capisce sei tu caro mio, vediamo se con un disegnino ti è più chiaro:

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Ma forse hai problemi con la traduzione dall'inglese

I ricercatori della Cybersecurity della Vrije Universiteit di Amsterdam, nota anche come VU Amsterdam, sostengono che Intel ha cercato di corromperli per sopprimere la conoscenza della più recente vulnerabilità della sicurezza del processore RIDL (carico di dati in volo rouge), che la società ha reso pubblico il 14 maggio. La pubblicazione Nieuwe Rotterdamsche Courant riferisce che Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità, e ha sostenuto la loro offerta con altri $ 80.000. La squadra ha gentilmente rifiutato entrambe le offerte.

Se fosse vero sarebbe gravissimo. Del resto ricordo come intel volesse inizialmente impedire i benchmark per verificare l'impatto delle mitigazioni... ma ovviamente per te tutto ciò è cosa buona e giusta

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^