Беда тому, кто говорит все, что он может сказать.

18-летняя Катя, изучавшая психологию с 5-класса, мечтала не о принце, а о придурке. ...

В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla
Tue, 15 Jan 2019 21:10:37 +0300

Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN
Tue, 15 Jan 2019 10:18:08 +0300

Разработчики GTK+ 3 тестируют обновлённую тему оформления
Mon, 14 Jan 2019 23:15:44 +0300

Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
Mon, 14 Jan 2019 23:06:52 +0300

Firefox 67 начнёт использовать отдельные профили для разных установок
Mon, 14 Jan 2019 10:15:10 +0300

В Firefox 69 планируется по умолчанию отключить поддержку Flash
Sun, 13 Jan 2019 13:19:47 +0300

Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО
Sat, 12 Jan 2019 12:17:05 +0300

Проект Fedora предложил оценить новые варианты логотипа
Fri, 11 Jan 2019 11:28:49 +0300

Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6
Fri, 11 Jan 2019 09:15:46 +0300

Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы
Thu, 10 Jan 2019 12:48:52 +0300

В DNF предлагают встроить UUID для идентификации установок Fedora
Wed, 09 Jan 2019 12:19:43 +0300

Debian тестирует поддержку UEFI Secure Boot
Tue, 08 Jan 2019 07:46:54 +0300

GitHub частично перевёл приватные репозитории в разряд бесплатной опции
Mon, 07 Jan 2019 23:21:50 +0300

NVIDIA объявила о поддержке открытого стандарта FreeSync/VESA Adaptive-Sync
Mon, 07 Jan 2019 13:15:57 +0300

Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
Mon, 07 Jan 2019 10:45:47 +0300

Новости OPENNET
Новости

Разработчики из компании Intel предложили для включения в ядро Linux серию патчей для блокирования второго варианта уязвимости Spectre (CVE-2017-5715). Патчи Intel позиционируются в качестве альтернативы патчам retpoline. По мнению Intel предлагаемое решение будет эффективно на процессорах Skylake и более новых, на которых не исключается появление вариантов атаки Spectre, которую не смогут закрыть патчи retpoline. При этом на старых процессорах по сравнению с retpoline решение Intel обеспечивает заметное снижение производительности, но в будущих моделях CPU влияние на производительность обещают сделать минимальным.

Патчи Intel базируются на использовании представленной в обновлении микрокода функциональности IBRS (Indirect Branch Restricted Speculation), позволяющей разрешать и запрещать спекулятивное выполнение инструкций. В предложенном патче IBRS применяется для адаптивного включения/выключения спекулятивного выполнения косвенных переходов во время обработки прерываний, системных вызовов, переключений контекста между процессами и между виртуальными машинами. В отличие от retpoline патч Intel для всестороннего обхода Spectre не требует изменений компонентов в пространстве пользователя при включении "полного" режима работы (IBRS_ALL), активирующего применение IBRS в userspace.

В ответ на предложение включить данный патч в ядро Линус Торвальдс вышел из себя и назвал патч Intel "полным и абсолютным мусором" (complete and utter garbage), а предпринятый метод значительно хуже, чем грязный хак. Появление IBRS указывает на то, что Intel не планирует грамотного решения проблемы со спекулятивным выполнением косвенных переходов. По впечатлению Торвальдса возникает ощущение, что Intel создаёт видимость работы во избежание судебных исков и прежде всего пытается решить свои юридические проблемы, что совсем не способствует созданию технически грамотных и качественных технологий и исправлений. Судя по всему, даже сама компания Intel не воспринимает предложенный режим защиты IBRS_ALL всерьёз, так как негативное влияние на производительность столь высоко, что он отключен по умолчанию, чтобы не портить результаты тестов.

Тем временем, в запланированный на следующий понедельник выпуск ядра Linux 4.15 войдут свежие наработки по блокированию атак Meltdown и Spectre. Для противодействия атаке Meltdown (CVE-2017-5754) на системах x86 с процессорами Intel (процессоры AMD данной атаке не подвержены) добавлена технология PTI (Page Table Isolation), обеспечивающая разделение таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Для процессоров PowerPC для защиты от Meltdown добавлен код на основе применения инструкции RFI (Return from Interrupt) для сброса кэша L1-D.

Для блокирования эксплуатации второго варианта уязвимости Spectre (CVE-2017-5715) добавлен механизм retpoline, основанный на применении специальной последовательности инструкций, исключающей вовлечение механизма спекулятивного выполнения для косвенных переходов (для работы защиты также требуется сборка модифицированной версией GCC с поддержкой режима "-mindirect-branch=thunk-extern"). Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.

Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off". В состав ядра также добавлен диагностический вызов в sysfs для быстрого определения степени устранения уязвимостей Meltdown и Spectre, который привязан к директории /sys/devices/system/cpu/vulnerabilities/:


   $ grep . /sys/devices/system/cpu/vulnerabilities/*
   /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
   /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
   /sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic SM retpoline

Дополнение: Компания Intel сообщила об определении причин проблем с перезагрузками на системах с CPU Broadwell и Haswell после установки нового микрокода. В настоящее время подготовлен начальный вариант обновлённого микрокода, который проходит тестирование среди OEM-производителей. После завершения тестирования будет предложено общедоступное обновление. До выхода данного обновления не рекомендуется использовать выпущенную в начале января версию микрокода.

67.0820 76.9498 0.6174 9.9329

НОВОСТИ: Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции ... Tue, 15 Jan 2019 10:18:08 +0300

Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальное Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM (ранее Git-зеркало носило неофициальный статус и поддерживалось энтузиастами со стороны).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome