Reprise du message précédent :
https://googleprojectzero.blogspot. [...] -side.html
 

https://forums.aws.amazon.com/threa [...] dID=269858
 

Avant/après la MAJ :
 

 
Source : https://twitter.com/timgostony/stat [...] 2844248065

Bonne année 2018, ça commence fort  

https://xenbits.xen.org/xsa/advisory-254.html

C'est tout pour moi ce soir.

C'est une blague ou du sabotage, c'est pas possible autrement  

EDIT : Mais c'est grave leur truc, c'est limite criminel
On peut se demander jusqu'à quel point toutes les optimisations liées à l'éxecution spéculative/prédictive partent à la poubelle
Il va rester quoi aux procs Intel pour fonctionner ? Une bite et un couteau ?

EDIT2 : Hah bah, les problèmes sur l’exécution prédictive/spéculative sont d'ordres plus généraux et pas liés simplement à l'implémentation d'Intel ... bien bien bien

Ça par contre, si c'est avéré, ils vont le sentir passer, devant les tribunaux ou dans des accords directement négociés auprès des plus grosses sociétés et des états

EDIT : Avec en bonus, le très fort soupçon de délit d'initié concernant la patron d'Intel (à voir si toutes les conditions étaient réunis pour qualifier ça en délit d'initié)
A voir, si y'a pas eu le même comportement de la part d'autres haut dirigeants d'Intel ...

Intel Inside ... the grave

Le Web 2.0/3.0 qui va passer à Web 0.25  

Putain, je commence à voir passer des benches pre/post patch

Ça fait mal au cul la dégradation de perfs sur les IOs ...

Les serveurs sur base Intel qui sont en train de se faire tailler la rondelle en étoile de Shérif ...

c'est beau  
 
io

bonjour,

Obsolescence programmée    

Faut revenir à quoi pour pas avoir la faille ?

Pentium mmx

 
J'ai encore ça dans mon placard \o/ (P166MMX)

Bonjour,  
"Bordel inside"

https://www.theregister.co.uk/2018/ [...] notations/
 
http://www.lemagit.fr/actualites/4 [...] ds-publics

Et maintenant, TOUT LE MONDE est affecté

C'est le bug de l'an 2000 ? Il a pris son temps pour arriver

Il devait arriver en 2036, mais le Père Fouettard est en avance cette année.

évidemment

Pas exactement par la même faille  

Je sais. Mais la seconde affecte un plus large spectre de processeurs, apparemment.

Oui. Belle tentative de résumé ici:  
http://www.theregister.co.uk/2018/ [...] erability/

Intel Atom d'avant 2013

Le résumé à peu près intelligible pour les n00bs:
https://danielmiessler.com/blog/sim [...] n-spectre/

Le pire avec Spectre et qu'un patch logiciel ne servira peut-être pas même si on peut se rassurer en constatanr qu'une attaque validée pour une famille de processeur n'est pas forcément efficace pour une autre famille.

Ca donne envie d'acheter de nouveaux procs
Enfin, pas avant 2019/2020

 
super clair pour expliquer simplement et pas rentrer dans les détails.

Pour mieux expliquer : l'algorithme de Tomasulo, c'est de la merde parce que c'est pas possible de le protéger en environnement multi.
A partir du moment ou tu commence à devoir/pouvoir mapper tes caches, tu ouvre la porte à leurs lectures et donc leurs manipulation en directe.

effectivement les premiers atom sont in-order

les caches partagés entre cpu (L3) et process différents (L1/L2/L3) c'est de la merde aussi à ce niveau là, même en in-order il y a un paquet d'attaques connues
 
https://cr.yp.to/antiforgery/cachetiming-20050414.pdf
http://www.jbonneau.com/doc/BM06-C [...] timing.pdf
 
bon là en 2017 on est allé encore plus loin dans ce genre d'attaque...

Sauf que tu donne des exemples de POC sur des processeurs notablement OOO.
 
Edit : je confirme pour l'ultrasparc III, le P3 étant basé sur les core "P6" (pentium pro) notablement OOO, l'athlon premier du nom et le x64 et x2 sont aussi OOO, pentium M (archi dothan) est dérivé de "P6" est aussi OOO et netburst (archi du P4) est aussi OOO (mais c'est une archi a 4 fetch 4 sortie, son comportement est proche d'un in order)

ces problèmes existent également sur des cpu in-order, c'est un problème de partage de caches entre différents process/processeurs
 
si tu veux une attaque de ce genre sur du in-order (cortex-a8): https://link.springer.com/chapter/1 [...] 40026-1_13
 
pour ceux qui ne suivent pas: rien à voir avec la faille dévoilée ces derniers jours

chez ARM: https://developer.arm.com/support/security-update
 
le white paper de 13 pages explique bien les différentes variantes, les use-cases et les workarounds

N'empêche, tous ces beaux uptimes qui vont disparaître, ça me donne le spleen.

En résumé, on commence l'année 2018 tous à poil  

Avec Intel ME c'était du même niveau... Là on ajoute des participants à la soirée
 

Au final, Intel s'est tellement bien appliqué à faire la même merde partout (à qq exceptions près), que c'est simple à comprendre, et à régler et on sait assez bien combien ça coûte (cas Meltdown)
 
Par contre, pour Spectre, ça va être plus "rigolo" ...
 
EDIT :  
On a des "poètes" ... tout n'est pas perdu  

https://spectreattack.com/

N'empêche ça va être plus simple de faire des dumps maintenant
https://www.youtube.com/watch?time_ [...] ReA1dvGJ6Y