Názory k článku
Intel: většina procesorů mladších pěti let dostane opravu do týdne
-
- intel ludia na oprave mikrokodu pracovali pod NDA?
- oprava mikrokodu bude vydana vo forme zdrojakov?
- kludne mohli intelaci slubovanu opravu mikrokodu nacasovat na dalsi den po zverejneni chyby googlom. Vedeli kedy to google zverejni. Pripada mi to ze na tom nezacali pracovat na v lete ale az niekedy pred vianocami, pripadne teraz posledny tyzden po zverejneni ked videli aky je z toho obrovsky pruser a ze to marketingovo neobkecaju.
-
Oprava linux kernelu funguje aj bez upravy mikrokodu. Predpokladam ze uprava mikrokodu spravi fix na urovni mikrokodu a nebude treba robit dalsi fix na urovni operacnych systemov. Zda sa mi divne ze tu upravu nemali nachystanu aspon pre niektore procesory uz 6 dni pred planovanim zverejnenim.
Pre naloz takehoto kalibru mali mat za toho 1/2 roka do detailov vyladenu komunikacnu strategiu a mikrokod fix. Pripadne odpalenie bomby o 6 dni skor nema organizaciu intelovskej velkosti / rozpoctu takto rozhadzat.
-
MarSik (neregistrovaný)
Ten první odstavec není uplně přesný, protože jde o několik propojených chyb a ne všechno jde řešit mikrokódem. Kernel opravy nachystané byly, mikrokód pro některá CPU taky. Není to tak, že by nevydali nic. Spíš jde o další CPU, proto které oprava ještě nevyšla.
S druhou částí musím souhlasit.
-
Meli - napr. pro xeony generace skylake byl fix ve forme microcodu vydan na zacatku prosince a vetsina boardu mela uz v prosinci k dispozici update biosu. V Release notes ale neni detailni informace o jakou chybu se jedna prave z duvodu informacniho embarga - nicmene informace o tom ze to je critical security fix tam obvykle je.
-
prezdivka (neregistrovaný)
Půl roku tu chybu usilovně tajili před uživateli. Nejen technické detaily, ale i to, že určitá taková chyba vůbec existuje a jaké může mít dopady. Jestlipak ji po celou dobu stejně usilovně tajili před NSA, největší a nejnebezpečnější kyberzločineckou organizací na planetě? Těžko, že. Vyslepičili jim to hned, ti z toho půl roku museli být v sedmém nebi.
-
To bude tedy odskodneni asi od MS, na kterem ta banka asi jede, protoze ta chyba je vlastne jen nedomyslenost popsana v dokumentaci CPU a to mel prece osetrit autor OS. MS ovsem vsude v kazde licenci pise, ze za nic neruci a user si muze polibit prdel. Podobne nikdo za nic neruci v Linuxu, takze s tim odskodnenim to chci videt.
-
ta chyba je vlastne jen nedomyslenost popsana v dokumentaci CPU a to mel prece osetrit autor OS.
Takto vývoj SW nefunguje ani v jiných případech, než je OS a Microsoft. Těžko můžete chtít náhradu po někom, když si této nedomyšlenosti / chyby nevšiml nikdo za celé roky (resp. při nejmenším o tom nevíme).
To bych si mohl rovnou koupit software dnes, a všechny nové verze chtít zdarma, protože byly vlastně nedomyšlené :).
-
Jardo, jsou čtyři předpoklady vzniku odpovědnosti za škodu:
1. vznik samotné škody (předpokládejme, že existuje),
2. protiprávní jednání - jaké je protiprávní jednání v tomto případě?
3. kauzální nexus - spojitost jednání se škodou (problematické, pokud nemáme protiprávní jednání),
4. zavinění - úmysl či nedbalost vs. náhoda.Zavinění nepůjde prokázat, specifikace chování procesoru byla popsána a dlouhá léta nikoho nenapadlo, co z toho může vzejít. To nenapovídá ani nedbalosti. Připouštím, že je možné, že v odborných kruzích budou mít jiný názor - např. že Intel zanedbal nějakou obecně přijímanou metodiku při vývoji a testování.
Protiprávní jednání je pravděpodobně vada výrobku, pokud ji vůbec můžeme nazvat vadou. I o tom se asi povedou spory. Update microcode ze strany Intelu sice vypadá jako přiznání "viny", ale na jejich místě bych se hájil tím, že jednali v opatrnosti a ve snaze pomoci softwarovým vendorům, aby nemuseli všechny verze záplatovat na úrovni OS.
Hlavní nedostatek ve vzniku odpovědnosti vidím v tom zavinění, tipuji to na casus minor, tedy běžnou náhodu, která se může přihodit všem.
-
max (neregistrovaný)
kontrola opravneni pristupu do pamati je jedna z klucovych vlastnosti CPU uz niekolko desatroci - CPU su s touto vlastnostou predavane a programatori (si uz OS, alebo aplikacii) s nou pocitaju a spoliehaju sa na nu
to, ze tato kontrola za urcitych okolnosti neprebieha je predsa zavaznym porusenim deklarovanych vlastnosti, nie?
ten vas pravnicky vyplod je sice pekny, ale v podstate pisete ze v IT, pretoze je komplexne, nikdy nikto za nic zopovedny nemoze byt, co je samozrejme absurdne
-
MarSik (neregistrovaný)
Ach jo, tak znovu. Kontrola _probíhá_ při commitu, takže k datům se normálně nedostanete. Pro běžný program neexistuje způsob jak tu izolaci porušit. Cache se ovšem změní. CPU Vám ale nikdy nedovolí ty data z cache přímo přečíst. Tj tady Intel nic nezanedbal.
Bohužel byl objeven způsob jak pomocí dvou triků ty data odhadnout (statisticky). Časový útok na cache se totiž nedá považovat za běžný program. Je to pěkný "hack", dokonce není ani moc složitý. A je o to horší, že linux má v adresovém prostoru procesu namapovanou celou fyzickou paměť.
Jiná architektura CPU, OS nebo oprava na kterékoliv úrovni by ten útok znemožnila, ale jak Intel CPU tak linux tuto architekturu používají už desetiletí. Oba ji mají zdokumentovanou. Dokonce se obojí učí na univerzitách v předmětech o návrhu OS a CPU jako state-of-the-art přístup. Která strana za to tedy může víc?
-
Ja zatim, nez to sepisete i s priklady, pujdu trochu znarodnovat a podrezavat a pak si to prectu.
Myslím, že stačí jen trochu kriticky myslet, aby člověk viděl, že opakujete populistické fráze o tom, jaký by měl svět (ať už ten hmotný, nebo ten virtuální) být, bez toho, aniž byste vůbec naznačoval, jak toho ve skutečnosti dosáhnout.
Legračního papouška beru!
-
Myslím, že stačí jen trochu kriticky myslet, aby člověk viděl, že opakujete populistické fráze o tom, jaký by měl svět (ať už ten hmotný, nebo ten virtuální) být, bez toho, aniž byste vůbec naznačoval, jak toho ve skutečnosti dosáhnout.
Nejsa nadan vasim rentgenovym kritickym myslenim, nevybavuje se mi, ktere populisticke fraze opakuji. Teorii o dosazeni lepsiho sveta sirit nebudu, protoze zadne nejsou. Problem nema reseni, protoze kazdy hlas rozumu se ztrati v oceanu blbosti. Nasilne pokusy o reformaci spolecnosti vzdy zdegenerovaly v neco, co nikdo nechtel, cehoz ostatne dosahujeme velmi uspesne i bez nasili, jen trochu pomaleji. Jedina cesta je pozvolna evoluce, na kterou lidstvo patrne nebude mit cas, protoze ma zcela dementne nastavene priority a protoze blbci se mnozi vzdy mnohonasobne rychleji, nez lide inteligentni.
-
nevybavuje se mi, ktere populisticke fraze opakuji.
Je jich dost, už jen úvaha nad myšlenkou "lepšího světa" je dost nekonkrétní, neuchopitelná, každý si pod ní každý představí něco jiného. Pro někoho je lepším světem svět sociálně spravedlivý, pro jiného rovnostářský, pro dalšího zřízení založené na volné soutěži, ... Pokud používáte fráze, se kterými se identifikují různé skupiny, které ve skutečnosti nejsou schopné na daném "cíli" spolupracovat, je to populistické.
Nasilne pokusy o reformaci spolecnosti vzdy zdegenerovaly v neco, co nikdo nechtel
Už jen to, že neúspěchy převratů považujete jen za "degeneraci" ukazuje, že převrat považujete za něco normálního, co by "teoreticky mohlo fungovat". Ve skutečnosti, před každým převratem se spojují síly, které mají společného nepřítele, ale pramálo společných pozitivních tezí. Tedy, dokud je potřeba svrhnout zřízení, tak spolupracují neskutečně efektivně, ale jakmile jde budování nového, každý už má jinou představu. Pak, po převratech, "fungují" zejména totality, ať už v rukou privilegované skupiny, nebo diktátora.
Jedina cesta je pozvolna evoluce, na kterou lidstvo patrne nebude mit cas, protoze ma zcela dementne nastavene priority a protoze blbci se mnozi vzdy mnohonasobne rychleji, nez lide inteligentni.
Ano, přesně tak, jedině pozvolná cesta vede vždy zpět ke stabilitě. Ze stability pozvolné evoluce nás vždy budou vytrhávat krátkodobé (ničivé) výstřelky. Starověké národy se nazývají kolébkou naší civilizace ne nadarmo. Před tím, než samy sebe zničily, či vedli sebezničující vnější politiku, položily základy práva, demokracie, věd, řemesel, ... - a ač po Řecku a Římě byla staletí marasmu, po nějaké době jsme se stejně vrátili k tomu dobrému, co za svoji existenci vymysleli.
Je možné, že nějaký převrat, i obřích rozměrů, rozseká svět, který známe. Ale po několika staletích, nepochybuji, se svět zase vrátí tam, kde jsme skončili s tím co děláme dobře.
===
Jestli mě něco dráždí, tak je to Vaše hodnocení našeho světa jako špatného a snaha ho změnit direktativně, byť v dobrém úmyslu. To, jsem přesvědčený, nikdy nefunguje. Svět se má nechat točit a nepřemýšlet o tom, kde ve vesmíru najdeme pevný bod a dostatečně dlouhou páku, nebo, chcete-li, po Vašem, nůž, šibenici, garotu, či gilotinu.
-
Podotýkám že když Jarda_P psal pujdu trochu znarodnovat a podrezavat a pak si to prectu, tak si dělal srandu právě ze snah změnit svět direktivně nebo revolucí. Pokud jde o změnu světa k lepšímu, tak tu jako pokročilý morous a pesimista nevidí realisticky, jak nakonec můžete vidět z výroku Teorii o dosazeni lepsiho sveta sirit nebudu, protoze zadne nejsou. On tu přispívá do diskusí dlouhá léta, a jeho názory jsou všeobecně známy.
Jinak se vám nechci plést do intelektuální pře. Klidně se do sebe zase pusťte, jdu si přinést popcorn :)
-
Nejsem zastancem sprosti v diskusi, ale to jsou totalni idioti.
Na posledni chvili se tu resi update microcodu, horko tezko se bude dostavat k vendorum (MB) - vse by se dalo pochopit, pokud by se o chybe nevedelo VICE NEZ PUL ROKU.
Co mezitim delali ? Ocekaval bych, ze se prvne pri nalezeni teto chyby udelaji opravy, distribuji se uzivatelum (vsak microcode nema zadny changelog, nikdo nevi co v nem je), nasledne se vydaji opravy v OS a jde se s pravdou ven. Co je na tom komplikovaneho? Proc ten microcode nevydali davno - nebo neodlozili OS patches / oznameni ?Ze nebudou k dispozici aktualizace pro nejake starsi procesory, budiz, stve me to, protoze nejaky HW budu muset obmenit, ale na nejake urovni do dokazu pochopit, ze to do starsich procesoru nejde / nevyplati se to / whatever.
Ale ze se prvne dozvime o problemu a POTOM vydavaji aktualizaci mikrokodu, to je naprosto neomluvitelne.
-
Ale garantuji Intelu jednu jedinou vec - po ME a tomhle si od vas minimalne nekolik let nekoupim nic, vc. serverovych CPU (takze za Ryzeny asi jeste usetrime misto Xeonu) uz jen z principu.
Nejde o to, ze se stala chyba - to se stane. Ale je to o tom pristupu k problemu. Tohle je pristup garazovky, ne solidniho vendora.
-
Petr M (neregistrovaný)
Ne. Garážovka se chová jinak, nemůže si dovolit přijít o tři z pěti odběratelů. Tohle je chování rozmazlenýho fracka, kterýmu projde cokoliv. Měl by dostat páskem na holou.
Jenom nechápu, že Intel všechno povorá a nejenom že nekrachne, ale je blahořečen. Co z procesorů vlastně udělali dobře?
I804x + následovníci (včetně 8051 a 8052) - katastrofa děs běs, ale do dneška používaný a záplatovaný.
I8080 - sada třech brouků, tři napájecí napětí, dvoufázový hodiny,... O rok pozděj konkurenční Z80 s jedním čipem, jedním napájením, normálníma hodinama a jako bonus refresh DRAM, přerušovací systém, swapování registrů a booleovský koprocesor. Navíc kompatibilní s I8080.
I8086 a segmentování adres - no comment
Pentium - kdo by se s tím počítal, stačí rychle odhadnout
... -
unicode (neregistrovaný)
Intel je v panic mode. Si dovedu představit, že 90% vedení ani neví o co vlastně jde, a vývojáři pod tlakem zbouchávají nějaké řešení, které musí být "za 2 dny, jinak bude průser". Tím se nechci nikoho zastávat, ale podle mě je v této situaci chyba hlavně ve vedení, které si z nějakého důvodu myslelo, že to je v pohodě. Nebo v tom CPU je těch chyb tolik, že se to nějak ztratilo a nikdo se k tomu za toho půl roku ani nedostal :)
Sám mám Ryzen a Intel už si asi v dohledné době nekoupím.
-
Ad Na posledni chvili se tu resi update microcodu - Update microcode vyšel 8.1.2018. Informace o zranitelnosti se dostaly ven dříve než bylo plánováno.
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=873Ad horko tezko se bude dostavat k vendorum (MB) - Windows i Linux dovedou updatovat microcode CPU při startu OS. Sice to může udělat i BIOS/UEFI při startu stroje, ale výrobci HW jsou poněkud pomalejší, a pro starší boardy nejspíš nový firmware nevydají.
Ad nebudou k dispozici aktualizace pro nejake starsi procesory - Budou. For Intel CPUs introduced in the past five years, we expect to issue updates for more than 90 percent of them within a week [což už se stalo, vizte výše], and the remainder by the end of January. We will continue to issue updates for other products thereafter.
https://newsroom.intel.com/news/intel-offers-security-issue-update/Ad ze se prvne dozvime o problemu a POTOM vydavaji aktualizaci mikrokodu, to je naprosto neomluvitelne; Proc ten microcode nevydali davno - nebo neodlozili OS patches / oznameni - Informace o zranitelnosti údajně utekly předčasně. Ten nový microcode podporuje cca 2300 modelů CPU, takže asi byla potřeba "trocha" testování. Kdyby se totiž microcode "nepovedl", tak by to byl veliký průšvih, nesrovnatelně větší než původní problém.
-
podla releasenote microcode-20180108 (overenene cez diff microcode-20171117.tgz vs microcode-20180108.tgz:) je zmenenych 19 z 94 mikrokodov:
2013 haswell
HSW Cx/Dx (06-3c-03:32) 22->23
HSW-ULT Cx/Dx (06-45-01:72) 20->21
HSX C0 (06-3f-02:6f) 3a->3b
HSX-EX E0 (06-3f-04:80) 0f->102014 broadwell
BDW-H E/G (06-47-01:22) 17->1b
BDW-U/Y E/F (06-3d-04:c0) 25->28
BDX-DE V0/V1 (06-56-02:10) 0f->14
BDX-DE V2 (06-56-03:10) 700000d->70000112015 skylake
SKL-H/S R0 (06-5e-03:36) ba->c2
SKL-U/Y D0 (06-4e-03:c0) ba->c2
SKX H0 (06-55-04:b7) 2000035->200003c2016 kaby lake
KBL Y0 / CFL D0 (06-8e-0a:c0) 70->80
KBL-H/S B0 (06-9e-09:2a) 5e->80
KBL-U/Y H0 (06-8e-09:c0) 62->802017 coffee lake
CFL B0 (06-9e-0b:02) 72->80
CFL U0 (06-9e-0a:22) 70->80???
Crystalwell Cx (06-46-01:32) 17->18
GLK B0 (06-7a-01:01) 1e->22
IVT C0 (06-3e-04:ed) 428->42aformat:
microarchitecture version (family-model-stepping) old->new -
V linku z mého předchozího příspěvku je seznam CPU, a je jich cca 2300. Vizte na stránce sekci "This download is valid for the product(s) listed below".
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=873 -
V oznameni stoji ze pote co Intel vyda firmware update pro procesory uvedene v poslednich peti let bude pokracovat i v podpore dalsich produktu:
https://newsroom.intel.com/news/intel-offers-security-issue-update/
Penez na opravu chyb ma Intel vic nez dost, mohou vydat firmware pro vsechny procesory uvedene za poslednich 20 let, kdyz budou chtit.
Po afere s ME ma Intel zrejme posledni moznost neco udelat pro zachranu dobreho jmena firmy, tak snad to management pochopi a zmeni kurs dokud je cas.
