Исследователи в области цифровой безопасности обнаружили очередную уязвимость в процессорах Intel. Отличие данной бреши в том, что ее не просто эксплуатировать, но закрыть абсолютно невозможно. Причина в том, что уязвимость находится в системе управления и конвергентной безопасности (CSME) — эта часть чипа отвечает за систему запуска, уровень мощности, прошивку и, самое главное, функции криптографии. Специалисты компании Positive Technologies обнаружили, что небольшая дыра в безопасности может позволить хакерам загружать вредоносный код и получать полный доступ к PC.
Новая уязвимость продолжает цепочку серьезных проблем, обнаруженных в архитектуре процессоров Intel. Начиная с 2018 года компанию регулярно критикуют за то, что процессоры компании не оснащены должным уровнем защиты.
По сути, CSME — это микропроцессор, который первым начинает работать, когда вы запускаете компьютер. Первым делом он защищает свою собственную память, но прежде чем это произойдет, существует короткий промежуток. Примерно, как выхлопное отверстие Звезды Смерти. Если взломщик имеет доступ к машине, то он может запустить внедрение своей программы в память микрочипа, переписывая его и запуская выполнение своих команд.
Так как ROM-уязвимость позволяет получать контроль за выполнением кода перед тем как механизм генерации ключа в SKS зафиксирован, и брешь нельзя исправить, мы считаем, что получение необходимого ключа — это вопрос времени. Когда это произойдет, наступит полный хаос. Идентификаторы железа будут подделываться, цифровой контент будет скачиваться, а зашифрованные жесткие диски будут взломаны.
Так как код запуска и RAM прописаны буквально на самих чипах, Intel просто не сможет выпустить патч для исправления процессоров.
Все это безусловно серьезная проблема, однако необходимо помнить, что для использования уязвимости требуется физический доступ к PC, специальное оборудование и софт. Правда, можно не сомневаться, что взломщики придумают, как упростить себе жизнь.
Сообщается, что уязвимость присутствует в процессорах Intel, выпущенных в последние пять лет. Intel заявила, что получила уведомление о проблеме в 2019 году и выпустила обновленную прошивку для материнских плат и других систем.
Фото в шапке: Dibbendu Koley
76 Комментариев
:) Хотел бы я посмотреть, как бы интел отзывали свои цпу из-за брака, как, например, в автомобильной индустрии
@Tahakaro, "взломщику", который получил физический доступ к твоему автомобилю в разы проще завладеть им или повредить. Не корректное сравнение.
@Tahakaro, автомобили тоже отзывают лишь тогда, когда судебные издержки могут выйти выше замены
Васе или Коле сидящему в вк и играющему после школы в шутаны это чем то грозит?)
@Normal, Такие люди будут возмущаться первыми.
@Fortuna, Точняк))
@Normal, При очередной заплатке у Коли просядет фпс.
как хорошо что я использую АМД
по теме: как я понял злоумышленник должен иметь ФИЗИЧЕСКИЙ доступ к ПК ... рядовому потребителю это не грозит, если только ЦРУ не припрётся в комнату и не будет сидеть рядом ...
@DarckNEZ, Ryzen – сила!
@DarckNEZ, не хочу тебя расстраивать, но у АМД уязвимостей еще больше. У того же Ryzen более 13 различных уязвимостей.
Но рядовому пользователю на них должно быть наплевать.
@evekin, уж сколько у интел уязвимостей, амд может только мечтать, так что... а можно про них узнать? Просто я только про интел из новостей узнаю, про очередную дыру и как интел спешит сделать заплатку на нее
@evekin, ты наивных ребят с АМД сейчас явно расстроил. Они то думают что покупая дишманское оборудование оно полностью неуязвимо.
@Vorbs, в гугле давно забанили?
Важно понимать что информационные войны идут не только в политической сфере, но и в торговле. Поэтому такие вбросы идут почему то в основном только на Интел, хотя у АМД уязвимостей в разы больше, но новостей по этому поводу меньше... странно, да?
@evekin, так а где вы о них узнаете, если их больше? Можно хотя бы на 3 уязвимости ссыль
@Sherlock89, А что у вас за процессор?
Блин пытаюсь узнать об уязвимостях райзенов, а мне все интел пихают
Теперь жду вашей помощи, дайте мне ссылки хотя бы на 3 уязвимости,т.к у интел даже в одной статье 4 насчитать можно:(
@Vorbs, https://safefirmware.com/amdflaws_whitepaper.pdf
@Vorbs, у меня интел.
вбил в гугле "уязвимости амд", показало более 4млн результатов и если пошел писькометр о количестве ошибок по одной статье, то амд оторвался далеко вперед аж про целых 10 критических ошибок говорится там.
https://3dnews.ru/966903
Тыкнул ссылку наугад, особо не вдаваясь в детали ибо мне неинтересна в целом данная продукция.
@Sherlock89, @evekin, что уязвимости есть я увидел, но что их больше - нет.
Что уязвимости есть я не отрицал, но что у амд их больше я пруфов так и не увидел, учитывая, что про интел чуть ли не каждый месяц рассказывают про новую уязвимость(да-да, богатая амд завалила интернет фейк новостями, а интел ничего поделать не может). И да, @evekin вы мне кинули статью про первый зен, даже не зен+, есть что по свежее, а не статья 2017 года(или когда она вышла). В интел и сейчас дыры находят, а вы мне старье кидаете. Я так тоже могу
https://thehackernews.com/2017/11/intel-chipset-flaws.html
@Sherlock89 Мне просто интересно узнать, какой именно у вас процессор, а то некоторые любят сидеть на 9600/9400 и кидать такие заявления
@evekin, @Sherlock89, не хочу Вас расстраивать, но ТОЛЬКО ИНТЕЛ был ВЫНУЖДЕН снизить свою ПРОИЗВОДИТЕЛЬНОСТЬ процессоров на 1/3 из-за уязвимостей или я не прав ?
@DarckNEZ, Правы, поэтому 9900кс сливает 9900к. оба на 5ггц
@Cohen, нет глючный он и там, где нужно он слабее
@Cohen, в чем сила брат? Назови мне хоть одну игру (а именно для игр мы их берем) где использовались бы все потоки?
@Bogart, за 7 месяцев не испытывал проблем, по сравнению с прошлым Intel новый процессор мощнее — с момента покупки не было ни разу претензий
@naxah, я брал не для игр, а для работы — обработка видео, работа с большими файлами в программах. У меня играть сейчас часто не получается, да и если уж на то пошло, влияние процессора на частоту кадров не такое значительное, как видеокарты.
Учитывая, что у меня старушка GTX 1070, то бутылочное горлышко в видеокарте, а не в процессоре
@Vorbs, https://www.ferra.ru/news/computers/eksperty-obnaruzhili-ugrozu-utechki-dannykh-v-processorakh-amd-08-03-2020.htm?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews
Последний абзац самый интересный:
Эксперты ещё в августе 2019 передали информацию в компанию AMD. Компания ответила только вчера. Она подтвердила данные об атак «Take A Way», но утверждает, что их невозможно реализовать. AMD советует обновлять операционные системы и антивирусные программы.
@ASRock, Ну да, слышал.
7 марта 2020 года компания AMD подтвердила информацию об атаках «Take A Way», но не считает их новым видом спекулятивных атак, так как их нельзя реализовать без одной из ранее существующих уязвимостей класса Spectre, которые уже были устранены в Ryzen.
Проблема уже не актуальна
Это как раз очень полезная уязвимость. Я не очень доволен тем что на моем ПК может что то происходить без моего ведома. А вот создатели denuvo явно не в восторге.
@PunkRoy, ты понятия не имеешь, что происходит на твоем РС без твоего ведома (не конкретно ты, а в общем)! Думаешь у Цукерберга в офисе просто так встроенные камеры в ноутах и тд скотчем заклеены? Многие смеются и рассказывают байку про шапочку из фольги... Вот только вы понятия не имеете насколько легко взламывается наше железо теми, кто знает все бэк доры ;)
И да, ща обязательно кто то начнет строчить шото типа - а мне скрывать нечего...@artman, Не ну это ясное что за всем не уследить. Эта уязвимость несёт угрозу только всяким drm потому что кроме них никто эти ключи не генерирует в тихаря от пользователей.
@artman, Нужно получить ФИЗИЧЕСКИЙ доступ к ПК, чтобы использовать эти уязвимости. Ну и абсолютно любое железо таким образом можно "взломать". Рядового пользователя это вообще ни как не должно волновать.
А корпоративные серверные и важные объекты не зря находятся под охраной СКЗ.
@artman, ой, та кому моя порнуха нужна .... ;)
Те кто смотрел Изгоя помнят что
эта брешь не была случайностью.А что еслиIntel специально сделал эту брешь ?
Oh shi~ here we go again
@Jesus1337, please translate to Russia.а то я малаграматный, авто-переводчиком пользоваться не умею ...
(^_^)
@DarckNEZ, это слова из популярного мема с участием Сиджея.
Перевод что то вроде "Ох черт, ну вот опять".
@Jesus1337, спасибо
Инцелы - всёесть варик, что у АМД нет никаких уязвимостей только лишь потому что у АМД их никто не ищет, возможно это такая проплаченная со стороны АМД конкуренция
@Imlerith, всё намного проще. Здесь новости выкладывают обладатели АМД и чуть выше даже можно прочесть их лозунг "Райзен-сила", что только подтверждает их предвзятое отношение к интелу.
@Sherlock89,
"ЗДЕСЬ" - здесь вовсе не при чём
Я видел новости про эту новую уязвимость ещё 2 дня назад на разных ресурсах
Shazoo не делает уникальный новостной контент, он копирует из других источников
@Imlerith, и ЧУ?
я как-то на других ресурсах не брожу ... так ШО ...
@Imlerith, мы не копируем, мы переводим. Не надо обижать )
@Sherlock89, я всю жизнь сидел на интелах, до сих пор в одной машине интел, во второй AMD... так что о какиой предвзятости речь?
@Imlerith, еще бы они делали, не надо им такого разгула для творчества отдавать.)
@Cohen, и неудивительно, ведь лучше их процев и не было, но вот только ты выходил на ресурсы с лозунгами Интел-СИЛА? Я увидел некую взаимосвязь между статьей, автором и комментарием и ничего больше.
@Sherlock89, ты слишком глубоко копаешь )
Хотя Ryzen определенно сила. 3600+ за свои деньги просто лапочка
@Cohen, сижу на и5-8400 стоит столько же, а разница минимальна.
@Sherlock89, ща посмотрел цены, i5-8400 стоит дороже Ryzen 3600 -__-
@Cohen, дада, извините: переводите, копирайтите, рерайтите
@Imlerith, именно так, потому что копировать — это Ctrl+C - Ctrl+V, как у нас тырят новости сотни групп в vk и всякие левые сайты
@Cohen, если покопаться в магазинах, то можно найти и за 11к
@Sherlock89,
@Imlerith, блин, сорян
@Cohen, ВАХ ... новость века: Кохэну проплатили и Интел и АМД: " ...до сих пор в одной машине интел, во второй AMD..., так что о какой предвзятости речь?..."
ВАХ, ВАХ, ВАХ ...
лично я предпочитаю для работы -Интел (надёжность по температуре), для дома - АМД (производительность / цена) видео-карта - Нвидиа ...
(^_^)
p.s.:да, да , я ужО древний и руководствуюсь принципами 2К года ...
@DarckNEZ, я бы только рад, но ни одни, ни другие, ни разу даже погонять не предлагали! Хоть бойкотируй )
@Cohen, ЭппЛЛ ждёт тебя ... брат ...
;)
p.s.: шутка (^_^)
но походу реально - ждут ...
@DarckNEZ, я передам ребятам из Apple, что пора бы уже подружиться поближе ))
Хотя бы один айфончик за все годы дали погонять
@Cohen, айфон, в свете последних новостей, не лорно - проси Макбук - он дороже
(^_^)
@DarckNEZ, пока нормальных клавиатур не будет, пусть идут в печь )
Неисправимый))
@Sherlock89, если быть до конца обьективными, то интел сами виноваты... Сколько лет пичкали в юзверей +3-5% за фулл прайс или смены сокетов на ровном месте, 4 ядра из года в год. Сразу скажу, я не фанатик амд и на райзене только один рабочий РС... был :)
Интел разжирел, обленился и обнаглел через чур... получил сейчас пенделя и может начнет чухаться. Ну а амд я бы пожелал наконец то отказаться от ножек на проце (привет из прошлого века), переработать инфинити фабрик, оставлять хоть какой то люфт для разгона и не борзеть с ценами.
@artman, если ты владеешь монополией, то ставишь свои условия. Интел не виноваты в том что АМД никак с колен не мог встать столько лет и навязать конкуренцию.
Да и вообще разговор был не об этом.
@artman, тут вопрос какбэ шо цру могёт напрямую подключится ... типа спецом "дыра" оставлена ... АМД вроде (пока!) такого дефекта не имело
(^_^)
@Sherlock89, монополия это когда вообще один... Оправдывать интел и то как они оборзели начиная с нехалемов - немного опрометчиво ;)
@Vorbs, так и знал шо ты напишешь про "старый райзен и его уязвимости" :)
А чем кардинально отличается зен+? Удиви :)
@artman, ну тем, что анально в зен+ и, тем более, в зен2 их могли давно устранить, в отличии от интела, где уже советуют копить на 10 поколение, там уж точно не будет дырок
@artman, ну практически так и было. Я их не оправдываю, а говорю о примитивном ведении бизнеса. Если у тебя нет реального конкурента, то ты свесишь ножки и будешь рубить капусту.
@Vorbs,
цит. анально и могли :D
Да это же гениально! Шо они еще таким образом устраняют?
@artman, :D ну, интел даже так не может. 10 серия спасет :D Или для вас это так удивительно, что с новым поколением не только +5% к производительности растет?
@Vorbs, могли не могли, конкретно с ссылками ;)
@artman, Зачем мне доказывать то, чего нет. Это, по идее, вы мне должны доказать, что в зен2/зен+ они есть, а что они были в сырой зен, это уже никому не интересно. Уязвимости ищут в новых процессорах, а не в тех, что вышли черти когда. А то, что эти болячку у интел идут еще со совсем древних процессоров - их проблема.
@Vorbs, ну не скажите ...
авторитет-то ведь просто потерять ... а нарабатывается -ГОДАМИ!
а тут вдруг оказывается, что из поколения в поколение есть уязвимость и её не правят ... по неволе задумываешся ...
От пишут они про уязвимости в процессорах но хоть разок бы взглянуть как оно работает. Те хочется посмотреть видео где чел садится за рс и начинает его взламывать через конкретную уязвимость.
@Vorbs, дорогой ты мой, поинтересуйся чем архитектура зен+ отличается от зен.
@DarckNEZ, ну так написали же выше, может у человека какие то инсайды есть :)
@Sherlock89, посмотрим что ща будет, процы под лга1200 уже видно что тухляк...
@artman, дорогой ты мой. все еще жду пруфов, что они есть в зен+. Какая разница, чем они отличаются, если банально половину болячек можно вылечить заплатками через обновление винды, что интел и делает, где это можно сделать. На заводе офк бы они не смогли это сделать... Про зен2 молчу
И еще раз, я не отрицаю, что болячки есть, только я совсем не понял утверждения, что их больше, чем у интел,если единственное что на них наводит, это статья из 2017 года на сырой зен
@Vorbs,
Ты получил то шо просил, дальше все в твоих руках, читай про архитектуру и различия в поколениях. Если хоть немного разбираешься в хардвейр, сам разкумекаешь... а если нет, то так и будешь заблуждаться.
@artman, ну понятно, хороший ответ. Значит интел может делать заплатки через различные обновления винды, а амд не может, и по этому все болячки зен перешли в зен+, а потом зен2, ведь они не устранимы... Pepega
@Vorbs, интересное умозаключение... особенно если учитывать, шо я ничего такого не говорил :)
Все эти дыры на поверхности, что там еще есть мы понятия не имеем.
@artman, А я и не говорил, что дыр у амд нет, лишь удивился высказыванию, что их больше, чем у интел. А в качестве пруфа получил статью из 2017 года на первый зен, где даже если сложить все дыры вместе, то едва ли будет больше, чем у интел за тот же 2017-18 год, не говоря уже об актуальных новостях. Ну после этого я проникся пониманием дела и осознал масштабность проблемы у амд...
Как бы в тему. Как я понимаю, добрая часть уязвимостей есть, потому что интел просто срезает часть вычислений для производительности. А такого же уровня уязвимости с видеокартами не может быть? Зеленые ж как и синие, если мне память не изменяет, углы режут ради производительности, вместо честной, "грубой" вычислительной силы? Потому что у меня на памяти несколько старых статей про более "честный" рендер на красных карточках (хотя подписываться под этим не буду, потому что и деталей и ресурсов которые эти статьи писали не помню). Хотя у меня сейчас очень большие сомнения в том, что амд сейчас не режет углы где только можно в своих оптимизациях.
мой i9-9900kf выпущенный в июне 2019 этому подвержен?
@mashaividova, Да. Архитектура особо не менялась, отсюда столько и дыр тянущихся из поколения в поколение. Не буду удивлен если в 10 поколении будут все те же самые дыры.