üzenetek

hozzászólások


Lacika112
(tag)

Végre maszturbálhatnak az intel fanok, nem mondható már el hogy "egyedi" a rengeteg biztonsági résük :DD

Troll off

Ha javítható bármilyen sebesség vesztés nélkül és javítják is akkor nincs gond, gondolom nem hardveres rések egy kis sebességért cserébe.


DraXoN
(őstag)
Blog

Elemelje fel a kezét akit most meglepett ez a hír...

gyakorlatilag a WHQL hitelesítés manapság csak a pénzbeszedésről szól ... nagyon minimálisak a minőségi "követelmények" ... :(

amíg nem keményít be MS, addig nem lesz "tisztogatás" ... illetve ez a gond linux esetén is gond lehet, ott se szeretik emiatt (se) a "zárt driver"-eket...


b.
(nagyúr)
Blog

Az a gond, hogy MS csak a saját háza táján söpör, szinte minden mást( gyártó) leszar, hogy nekik mire lenne szükségük egy egy update alkalmával miért nem megy éppen ez vagy az az adott hardvernél.

[ Szerkesztve ]


Thrawn
(félisten)
Blog

Érdemes megnézni cégekre lebontva a jelentéseket, főleg a Timeline rész beszédes, hogy ki hogy állt hozzá ezekhez a sérülékenységekhez. Némelyik hát hogy is mondjam, siralmas... :(


Kansas
(senior tag)

Azért azt érdemes megnézni, hogy az AMD közvetlenül nem szerepel benne, csak "ATI Technologies"-ként, ami ugyebár 2006-ban megszűnt létezni... felmerül a kérdés, ez az egész tanulmány mikori adatokkal dolgozott?
Egy 2006-ban megszűnt cég driverei ma milyen relevanciával bírnak, mennyi található meg belőlük a mai(nem legacy) driverekben? A többi érintett cég is hasonlóan régi drivereivel került be?

[ Szerkesztve ]


bambano
(titán)
Blog

ez egy olyan fontos hír, hogy duplán is meg kell jelentetni?


colomb2
(addikt)
Blog

Par honapja mar duplikaja a hireket a lapcsalad... ugy latszik jelen esetben nem tudot egymasrol a 2 szerzo ezet 3x is megjelent. :DDD

[ Szerkesztve ]


Akula
(senior tag)

Hogy az ember ne legyen nyugodtan. :W

(#2) DraXoN: ezt nem értem. a Linuxnál pont, hogy ez nem lehet gond, mert ezek a hibák egyből kiderülnek a közösségi nyílt forráskód miatt.

[ Szerkesztve ]


Duracellm...
(veterán)
Blog

Ha egyik napról a másikra 1/3-ára csökkenne a windows alatt működő hardverek száma, mert a driverek 2/3-át soha nem látta microsoft és nem is írhatta alá, ezért nem telepíthetőek fel vagy nem töltődnek be többet, akkor hirtelen nagy népszerűségre tennének szert.


Duracellm...
(veterán)
Blog

Én olyan biztonságban érezném magam, hogy többet nem vennék PC-be alkatrészt.

[ Szerkesztve ]


DraXoN
(őstag)
Blog

pont ezért mondtam linux alatt a ZÁRT drivereket, vannak hardverek amikhez csak az van, vagy VGA-hoz ha "teljesen" ki akarja használni az ember...


Csabroncka
(addikt)
Blog

Végül is minden már ekörül a sebezhetőség körül zajlik, ezek után ez jut eszembe:

régen így védekeztek a sebezhetőség ellen:

ma így védekezel a sebezhetőség ellen:

A közös bennük, hogy mindegyik megoldás lassulást okoz!

Szóval dőljünk hátra és sz@rjuk le :(((


b.
(nagyúr)
Blog

Szerintem az ATI alatt a VGA részleget( ATI radeon) érintő driverekre gondolnak nem az ősrégi ATI ra. A PDF ben benne van, hogy CPU nal sokkal komplikaltabb a dolog,nem igazán támadható.


Kansas
(senior tag)

"egyből kiderülnek a közösségi nyílt forráskód miatt" - nem kiderülnek, max kiderülhetnek. A nyílt forráskód magában csak a lehetőséget teremti meg, a melót nem teszi bele senki helyett - és ráadásul ahogy fentebb írják, a "komoly", a HW képességeit maximálisan kiaknázó driverek jó része Linuxon is zárt forráskódú, binárisként terjed.


Kansas
(senior tag)

Az AMD grafikus részlegét tudtommal soha nem hívták "ATI Radeon"-nak(Radeon Technology Group volt a neve, előtte meg AMD Graphics Product Group , az ATI brand-et soha nem használták az AMD-n belül), bízom benne, hogy annyira nem dilettánsok, hogy az AMD-t hívják ATI-nak, logóstul, mikor semmibe nem kerülne nekik AMD-nek hívni, a kapcsolódó márkajelzéssel. Tehát gondolom ezek a megállapítások még az ATI Radeon időkre érvényesek(és nem csak az AMD kapcsán).
Vagy - az is lehet, hogy a doksi egy jó része korábbi kutatásaik újrahasznosított kiadása(pl. a Win logó sem olyan már a Win8 óta, mint ami itt szerepel).

CPU-hoz meg nem igazán van driver, tehát ha kifejezetten driver problémákat keresnek, ott nem fognak találni - gondolom az Intel is az IGP-k vagy az Ethernet/WiFi kártyáik driverei miatt szerepel, nem a procik révén...

szerk.: kicsit utánanéztem, és az alapján az AMD csak 2010-ben hagyta abba az ATI Radeon márka használatát és váltott AMD Radeonra... my bad.

[ Szerkesztve ]


Kansas
(senior tag)

Az OS frissítések túlnyomó része nem lassít semmit, Windows-on sem. Csak a Spectre/Meltdown/kapcsolódó javítások, azok is csak azért, mert az előttük meglevő sebesség egy része pont abból származott, hogy baxtak HW-ben kezelni ezeket a sebezhetőségeket.


DraXoN
(őstag)
Blog

CPUnak is van drivere, csak erősen a kernel része amit átlag user sose lát/telepít ... jól is van ez így.


Kansas
(senior tag)

Vannak CPU-specifikus optimalizációk a kernelben(szálkezelés, miegymás), de a klasszikus értelemben vett driver modul(legalább is Windows-on) nem igazán, inkább az AGESA van a legközelebb ahhoz amit én CPU driver-nek hívnék, de az meg a BIOS-ban(UEFI-ben) van.
Csúnya is lenne, ha a gép nem tudna bebootolni, mert nem tud mit kezdeni a CPU-val :D

Linux-ról nem nyilatkozok e tekintetben, ahhoz nem értek hozzá eléggé.

[ Szerkesztve ]


colomb2
(addikt)
Blog

amd microcode resze a linux-firmwarenek, intel kulon adja ki.


Sinesol
(addikt)

Kb. mindenben van sebezhetőség, amit megirtak, max még nem találták meg őket.
Egyébként vihar egy pohár vizben kategória az egész, nagyon uborkaszezon van úgy tűnik.

[ Szerkesztve ]


Dr. Akula
(nagyúr)

Remélem a gyártók még tudják követni ezeket, mert én már nem. Meg már nem is akarom. Most befoltoznak egyet, holnap jön helyette 2 másik. Abban viszont biztos vagyok hogy egy mezei pc-n nem ez lesz a legnagyobb biztonsági lyuk, amit foltozni kéne.


bobalazs
(addikt)
Blog

Ez a DEFCON mindig hoz valami meglepetést! :D
Ami nem is igazán meglepetés.


Gdi
(senior tag)
Blog

A nyílt forráskód annyira biztosíték bármire is, hogy húha...
Lehetőséget ad a keresésre, de egy ügyes approved commit és egy halom új backdoorra is.

Dirty COW meddig is létezett? 9-10 évig?
meg a jópofa "&& (current->uid = 0))" egy IF-ben.

ecetera


Joci10
(senior tag)

Ha jól láttam, akkor az egyik oldalon megírják, és ha érinti a másik oldalt is, akkor az 'átveszi' és kirakja magánál is. Nem duplikálja, csak ott is megjelenteti. És ez jól látszik abból is, hogy a két hírnek ez a közös fórumtémája (vagyis nem csináltak mindkettőhöz 1-1 fórumtémát, hanem mindkettőről ide irányítanak); közös a megjelenési ideje, teljesen azonos a hír, .... és ha az IT Café-nál lévő szerző névre kattintasz, akkor hová is jutsz? A végén még kiderülhet, hogy a 2 szerző 1... :D


Egon
(nagyúr)
Blog

Végre maszturbálhatnak az intel fanok,

Ilyenkor magadból indulsz ki? Rosszul teszed... ;]

Persze értem én hogy mitől jut egyből az eszedbe az Intel, egy kb. az összes iparági szereplőt érintő hír kapcsán is: prófétád, az Abuthizmus egyház megalapítója nem hagyta ki a ziccert, és mulasztotta el átkötni a hírt az első bekezdésévelés az első linkjeivel... :C


Kékes525
(veterán)

Akkor ezért találtam ismerősnek. :D


Karness Muur
(lelkes újonc)

Bocs, de ezt hogy érted?: "Érdemes megnézni cégekre lebontva a jelentéseket, főleg a Timeline rész beszédes"
Előre is kösz.


colomb2
(addikt)
Blog

A technikai reszlet mindegy, 2x ugyan az jon(/tt mert mar leiratkoztam nehany PH oldalrol emiatt) RSS-ben ezt duplikaltnak veszem.
Jelen esetben viszont tenyleg 3x megjelent, 1x PH === 1x ITC es korabban 1x ITC (masik szerzovel).


Thrawn
(félisten)
Blog

Itt van pl az Asus, Asrock, Gigabyte, stb: [link]
Bedátumozva minden, mikor vették fel velük a kapcsolatot, mikor, hogyan reagáltak, ilyesmi.


Karness Muur
(lelkes újonc)

Kösz! Link nemvolt a hozzászólásodban Timeline meg időrend magyarul. :-)


nexplo
(aktív tag)

Akkor most az intel prociban vagy az intel meghajtóban van a rés? :D
Én már nem tudom követni. Több lukam lehet mint egy jobb fajta sajtnak :)


Thrawn
(félisten)
Blog

Nem linkeltem, mert a hírben benne volt az oldalé :)
Tudom mi a Timeline magyarul, de így találod meg a jelentésben.


ribizly
(veterán)
Blog

Ti nem unjátok még ezeket a híreket? Értem én, hogy vannak gondok a világban, meg fontos, hogy az egyén, az adataink, a privát dolgaink biztonságban legyenek, de azt érzem, hogy ez már túl van tolva.
Mindig lesznek biztonsági rések, de ezeket érdemes volna rangsorolni, mert sok kihasználásához olyan együttállásoknak kell meglennie, aminek az esélye 1 az 100000000-hez, miközben a "javítása" (blokkolása) komoly performance impact-al jár.
Nekem már elegem van ezekből az engedélyem és beleegyezésem nélküli (biztosan van benne szó persze az EULA-ban, de most ezt hagyjuk) érkező "biztonsági frissítésekből", amelyek szétkúrják a drágán megvásárolt és használni kívánt gépemet.

[ Szerkesztve ]


Predatorr
(junior tag)

No, máris láthatod, melyik cég rendelte meg a kutatást. :)

Minden sebezhető, szerintem a hackerek is tudják anélkül, hogy szólnának róla nekik. Amíg államok lesznek, biztonsági rések is.

A W10 már olyan biztonságos, hogy a Roccat billentyűzetem driverét semmiféle módon nem lehetett telepíteni, a „remek” céges support is csak ökörségeket tudott mondani (clean boot, stb, amelyeket magamtól is teszteltem). Küldhettem vissza, buktam 2000Ft-ot a usereket leszaró gyártó és a MS miatt.

Nacplo: prociban, hardveres feature. Marad is 10 v.7 nm átállásig.

[ Szerkesztve ]


Malák
(tag)

Azért ez nem hangzik túl jól : (


dabadab
(félisten)
Blog

Aztaq... most megnéztem a Gigabyte-ot, ez egyszerre baromi vicces és tragikus:

2018-04-24: SecureAuth sent an initial notification to services@gigabyte and services@gigabyteusa and requested for a security contact in order to send a draft advisory.
2018-04-30: Gigabyte Technical support team answered saying the notification was too general and requested SecureAuth to open a ticket in the Support portal.
[...]
2018-05-04: Gigabyte Technical support team replied saying that Gigabyte is a hardware company and they are not specialized in software, and requested for technical information.
[...]
2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software. They requested for technical details and tutorials to verify the vulnerabilities.
[...]
2018-05-16: Gigabyte replied saying that the draft advisory was general and asked for a personal contact.
[...]
2018-05-16: Gigabyte replied saying that the draft advisory was general and asked for a phone contact again.
[...]
2018-07-12: Gigabyte responded that, according to its PM and engineers, its products are not affected by the reported vulnerabilities.
2018-12-18: Advisory CORE-2018-0007 published as 'user release'.

Szóval nagyjából három hónapon keresztül odáig nem sikerült eljutniuk, hogy a proof-of-conceptet kipróbálják, hogy tényleg lássák, hogy a saját drivereikben ott a biztonsági rés, majd a végén letagadták az egészet.

[ Szerkesztve ]


Akula
(senior tag)

:W :W :W


Lacika112
(tag)

Akkor megvolt a szokás személyeskedés 😂
Az hogy az iparág évtizedeken átnyúló hardveres biztonsági réseit meg merem említeni "Abutizmus"?
Komolyan gondok vannak 😂

Jelenleg egy olyan hardver cég van akinek egyedül több biztonsági rése van mint a többinek összesen x 10......
Bizony....bizony.... Abu ekkora "hatalom" megszabta 10+ éve egy cégnek tervezzen selejtet így majd cikkezhet róla...... Orvos látott? 😂


nexplo
(aktív tag)

Nem kell mindent magadra venni. Én úgy látom hogy az innováció az újítás és ez a hajszolt fejlesztés ez fénysebességgel halad, amíg a stabilitás és biztonság kullog utána. Ez a fogyasztói társadalom sajnos. Ami elszomorít hogy ez kb minden területre igaz lassan. :(


FlashLed
(aktív tag)
Blog

Kérdem én:

Mire a WHQL? Dísznek?


bobalazs
(addikt)
Blog

Az a whql a működésére vonatkozik nem a sebezhetőségekre a forráskódban.


bambano
(titán)
Blog

mint amikor egy 20 éves bontószökevény rozsdaboglyára felraknak négy krómozott felnit meg egy gyorstankoló matricát.


nexplo
(aktív tag)

:D :DDD ezen besírtam :DD


FlashLed
(aktív tag)
Blog

Bocsi, butaságot kérdeztem :D


Kékes525
(veterán)

Annyira nem, mert a WHQL tesztnek a biztonságot is kellene ellenőriznie, mert a felhasználók döntő többségének a szemében a Microsoft az oka a biztonsági problémának is.


Kansas
(senior tag)

Arról a MS nem tehet, hogy a felhasználóinak a döntő többsége dilettáns.
Nem az a megoldás, hogy mindent felvállal, amit a felhasználók neki tulajdonítanak...
Ha a HW/driver gyártó a hiba oka, akkor a javítás felelőse is.
Arról nem is beszélve, hogy a sok marha "power user" terjeszti is, hogy az a megolodás bármire is, hogy le ke tiltani a frissítést(vagy legalább megpróbálni).
Ha mostantól az idők végezetéig csak hibátlan, 1mp alatt feltelepülő, 1MB-os frissítéseket is ad ki a MS, akkor is azt fogja szajkózni a sok "hozzáértő", hogy le kell tiltani, mert szar, lassít, sokáig települ meg sok helyet foglal... az igazi hozzáértők persze nem, de ők kisebbségben vannak és nem szeretik annyit tépni a szájukat, mint némely fórumhuszár.

[ Szerkesztve ]


Kékes525
(veterán)

"Ha a HW/driver gyártó a hiba oka, akkor a javítás felelőse is."

:K Igaz, de:

"Nem az a megoldás, hogy mindent felvállal, amit a felhasználók neki tulajdonítanak..."

:N Az lehet, hogy ez nem igazságos, de a felhasználók többségét ez nem érdekli és ha nem akar presztízs veszteséget, akkor fel kell vállalnia ezt szerintem és mellette a háttérben nyomást kellene gyakorolnia a gyártókra a jobb és biztonságosabb driver fejlesztésekért.

[ Szerkesztve ]


ribizly
(veterán)
Blog

Kiváló példa az én esetem erre az ASUS-al. Felkerestem az Intel-t (chipset és CPU gyártója), Mircosoft-ot (OS, amivel jött az új microcode) és az ASUS-t (alaplap gyártója), hogy ugyan tegyenek már valamit azzal kapcsolatban, hogy kapjak új BIOS-t, vagy Intel driver-t vagy az MS tegye vissza a korrábi microcode dll-t.
Az Intel hárított helyből.
Microsoft-nál fogalmuk sem volt, hogy mi a fene történik. :D
Az ASUS-nál is hárítottak, de amikor tudtam már mutatni pár forum-ot, ahol a problémáról ment a beszélgetés, akkor legalább nem küldtek el és (elvileg) felvették a kapcsolatot az Intel-el. Egyébként meg részükről mindenki bekaphatja. Már azt is megkaptam a végén, hogy vegyek új alaplapot (ezzel platformot cserélve), mert az enyém már "elavult". Az, hogy még egy garanciális alaplapról beszéltünk éppen az senkit sem érdekelt.


bambano
(titán)
Blog

a helyzetet az idei német nagydíjjal tudnám szemléltetni: esett az eső, voltak nagy tócsák, amire ha felúszott az autó, akkor a nagynevű f1 pilóták rögtön utassá váltak, és szálltak, amerre a fizika vitte őket.

na pontosan ugyanez van a w10-ben. az ms minden döntési lehetőséget kivett vagy ki akar venni a felhasználó kezéből, ráadásul erőlteti a cloudot is, egyre inkább utassá válik a tulajdonos. ha viszont a tulajnak nincs beleszólása a dolgokba, akkor az a felelős, akinek van: az ms.

az ms-nél is látható, hogy teljesen felesleges, semmit nem érő marhaságokba ölik a fejlesztési erőforrásokat (jól emlékszem, hogy már megint belebabráltak a startmenübe?), ahelyett, hogy lassítanák az új feature-k tervezését és implementálását, helyette hibát javítanának.

az ms részéről nyilván nem az a megoldás, hogy mindent felvállalnak, amit eltoltak és sok pénzbe kerülne kijavítani, de az userek ezt várnák el.

üzenetek