BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/?page=30

Russian Security Newsline
Хотите установить RSN на своем сайте?

Ошибка в Google Cast блокирует домашние роутеры
dl // 16.01.18 15:06
Производители роутеров начали понемногу выкатывать обновления прошивок, защищающие от ошибки в устройствах, использующих Google Cast (Chromecast, Google Home и т.п.).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/04.html]
Обычно такие устройства раз в 20 секунд отправляют MDNS-пакет в качестве подтверждения keep-alive, информируя другие устройства о своём существовании. Однако выяснилось, что если устройство заснуло, в момент просыпания оно отправляет пачку таких пакетов, причём тем большую, чем дольше продолжался сон (в сообщении TP-Link называется порядок в сотню тысяч пакетов). Что эффективно переполняет память домашних роутеров, делая их недоступными до перезагрузки.

Не дожидаясь исправления от Google, TP-Link и Linksys уже выпустили обновления, на подходе Netgear.

Источник: The Register
теги: google  |  обсудить  |  все отзывы (0)


Патч от Meltdown и Spectre положил Ubuntu
dl // 10.01.18 22:11
Не так страшен Meltdown, как патчи от него.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/03.html]
Вслед за Microsoft, заморозившей системы с AMD-процессорами, отличилась Canonical, выпустившая такое обновление, что Ubuntu Xenial 16.04 перестала грузиться. Спасает лишь откат назад с версии ядра 4.4.0-108.

Источник: Slashdot
теги: уязвимости, meltdown  |  обсудить  |  все отзывы (0)


Microsoft пропатчилась против Meltdown, заморозив системы с AMD
dl // 09.01.18 13:12
Microsoft приостановила распространение на системах с процессорами AMD последнего патча, направленного на борьбу с уязвимостями Meltdown и Spectre.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/02.html]
Выяснилось, что некоторые чипсеты AMD не соответствуют предоставленной документации, результатом чего становится невозможность загрузки системы. Ведутся работы.

Источник: The Verge
теги: microsoft, patch, meltdown  |  обсудить  |  все отзывы (0)


Жизнь после Meltdown и Spectre
dl // 07.01.18 18:55
Пыль, поднятая вокруг случившегося на неделю раньше запланированного обнародования информации об уязвимостях Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715), чуть улеглась, так что можно делать некоторые оценки сложившейся ситуации.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/01.html]

Счастливчикам, выпавшим на прошедшей неделе из новостного потока, имеет смысл ознакомиться с весьма доходчивым описанием Олега Артамонова. Если совсем коротко и на пальцах, принципиальный источник всех проблем кроется в сочетании механизма спекулятивного выполнения команд и предсказания ветвлений с использованием процессорного кэша.

В случае Meltdown ситуация усугубляется игнорированием процессором во время этого самого спекулятивного выполнения команд прав доступа к памяти (из тех соображений, что операция все равно откатится), в результате чего любой процесс может, используя оценку времени косвенного доступа к памяти, фактически прочитать всю память системы, в том числе и критичные блоки, обычно нормальным процессам недоступные. Под раздачу с Meltdown попали все процессоры Intel семейств Core и Xeon, процессоры iOS-устройств и пока широко не используемый Cortex-A75.

Хорошая новость - Meltdown может быть закрыта на уровне ОС, что и произошло во всех последних патчах. Плохая новость - исправление чревато ростом накладных расходов на системные вызовы, который может привести к падению производительности от 1-2% до 20-30%, а также росту потребляемой энергии (TDP) на 10-15%. Поскольку уязвимость локальная, обычным пользователям достаточно применять стандартные правила компьютерной гигиены и не запускать все подряд (тёмным пятном тут остается выполнение JavaScript, но производители браузеров уже озаботились загрублением оценок времени доступа к памяти). А вот всевозможным хостерам и облачным провайдерам придется срочно озаботиться. И их же сильнее всего затронет падение производительности после применения патчей (вот отличный пример).

В случае со Spectre с одной стороны всё не так больно, поскольку использовать её гораздо сложней (идея заключается во влиянии на спекулятивное выполнение команд в атакуемом процессе c последующим анализом попадания данных в кэш). С другой стороны, она уже носит фундаментальный характер и проявляется практически во всех современных процессорах. Ответ на вопрос "кому волноваться?" тут такой же, как с Meltdown. При этом надо понимать, что мы имеем дело с новым классом атак, использование которого почти наверняка не ограничится двумя описанными случаями и будет сочетаться с другими векторами атак. Что забавно, один из способов борьбы со Spectre сводится к усложнению определения атакующим типовых фрагментов кода, подходящих для использования, что слегка напоминает способы борьбы полиморфных вирусов с определением антивирусами.

Источник: Новогодние подарки: часть первая, вторая, третья
теги: уязвимости, meltdown  |  обсудить  |  все отзывы (3)


С наступающим
dl // 29.12.17 19:47
Традиционный недельный новогодний полуавтопилот и поздравления всех присутствующих с неумолимо надвигающимся 19 декабря 2770 года ab Urbe condita.


теги: ny  |  обсудить  |  все отзывы (0)




««    «   31  |  32  |  33  |  34  |  35  |  36  |  37  |  38  |  39  |  40 >>  »    »»


Предложить свою новость



  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach