Tu t'attendais à plus que ça ?

Le taunt de Linus sur les PR d'intel est priceless (du Linus quoi) lkml.org/lkml/2018/1/3/7…

Il ne change pas, Linus

www.raspberrypi.org/blog…

Une explication (presque) limpide des raisons derrière ces failles.

Effectivement, bien abordable (et je sens que je vais faire circuler le lien au boulot )

lists.dragonflybsd.org/p…

Morceau choisi :

I should note that we kernel programmers have spent decades trying to reduce system call overheads, so to be sure, we are all pretty pissed off at Intel right now. Intel's press releases have also been HIGHLY DECEPTIVE.

Et cet article est vachement intéressant aussi : www.qemu.org/2018/01/04/…

Intel fait le maximum pour faire croire qu'ils ne sont pas les seuls affectés par le "bug" (alors que Meltdown ne concerne que les CPU Intel), et leur communication à ce sujet leur a permis d'éviter une grosse déroute en bourse, mais ce ne sera sans doute pas suffisant pour éviter les class-actions qui ont été entamées aux states.

Et, partenaire privilégié oblige, Microsoft en a remis une couche en sortant un patch spécifique pour AMD, qui empêche la machine de booter dans certains cas, et en accusant AMD d'avoir fourni de mauvaises spécifications. A croire que ce n'est pas testé avant d'être déployé, mais je pense que la manoeuvre vise surtout à communiquer sur le fait qu'il y a aussi un souci, dans le cadre de ces failles, avec les CPU AMD (alors que ce n'est pas le cas pour Meltdown). La théorie du complot pousse à croire que c'est une demande d'Intel visant à glisser aux oreilles du grand public que "tout le monde est affecté" et pas seulement Intel...

C’est surtout la gestion de cette crise qui est problématique … Si y’avait un embargo jusqu’au 9/1, pourquoi Google a lâché l’information avant ? Ça fait petit joueur …

En attendant, c’est une rentrée de merde pour les sysadmins, ce n’est pas tout de patcher les OS, faut que les solutions suivent (firmware pour le hard) et certains boites font vraiment de la merde (Coucou Symantec ! )

La faille en elle-même est « potentielle » pour le moment, mais vu les évènements de 2017, tout le monde met sa ceinture-bretelle-parachute au cas où une attaque parviendrait à exploiter la faille à grande échelle …. Bref, on essaye d’éteindre l’incendie pendant que les médias mettent des camions citerne dedans

La prochaine étape, c’est quoi ? La lecture bas-niveau du cache d’un HDD ? L’interception du bus de données ?
Il y a tout de même plus simple pour soit compromettre un système soit récupérer des données.
Chez Google ; on doit se marrer en mangeant des popcorns … ils veulent peut-être vendre des Chromebook avec un proc proprio cela dit

Je lisais justement à l'instant un truc dessus : www.bloomberg.com/news/a…

La faille était connue depuis plus de 6 mois, mais uniquement par les grandes boites, qui du coup faisaient leurs patchs et "harcelaient" les mainteneurs linux pour intégrer ces patchs sans expliquer pourquoi. Au bout d'un moment, ça s'est vu y compris des gens extérieurs, et c'est un papier de The Register qui à partir des bribes d'informations en a sorti la réalité : il y avait une faillasse monstre autour des cpu intel.
Et à partie de là, ça a été le chien lâché dans la basse-cour, c'était au premier qui dégainait pour sauver ses miches et le cours de ses actions.

Spectre et Meltdown étaient identifiés comme tel depuis avril, mais les premiers travaux autour de ce soucis se chiffrent en années. C'est sensément un ingé Google qui a trouvé le truc, cette info a visiblement été filée a Intel et aux autres GAFA, quand une équipe universitaire a trouvé de son côté la faille (en voyant cette suractivité des multinationales à vouloir patcher sur un truc très particulier sur laquelle elle avait bossé), la réception fut plus que froide.
Outre la problématique technique, la gestion de cette affaire pue quelque chose de grave. On vit décidément de plus en plus dans un univers cyberpunk, les megacorpos dealent entre elles même sur des sujets "vitaux".

Sympa l'article.

" Gruss recalls telling Fogh that the chipmakers would have uncovered such a glaring security hole during testing and would never have shipped chips with a vulnerability like that."

"Despite Fogh’s encouragement, the Graz researchers still didn’t think attacks would ever work in practice. "That would be such a major f*ck-up by Intel that it can’t be possible," Schwarz recalled saying. "

Avec le passage dont parle Tchou :

[i]"The Graz team’s attitude quickly changed, though, as summer turned to fall. They noticed a spike in programming activity on their KAISER patch from researchers at Google, Amazon and Microsoft. These giants were pitching updates and trying to persuade the Linux community to accept them -- without being open about their reasons sometimes.

“That made it a bit suspicious,” Schwarz said. Developers submitting specific Linux updates usually say why they’re proposing changes, "and on some of the things they didn’t explain. We wondered why these people were investing so much time and were working on it so hard to integrate it into Linux at any cost."

To Schwarz and his fellow researchers, there was only one explanation: A potentially much bigger attack method that could blow open these vulnerabilities, and the tech giants were scrambling to fix it secretly before every malicious hacker on Earth found out."[/i]