Факты пока что мало кому что сказали. Потому что большинство грамотных людей еще не копались глубоко в коде. Это Сози собирает мусор с помоек. А в реальности пока что очень странная ситуация, со всяких помоек а-ля битс&чипс и каких-то инжинеров из АМД. Даже у того же Фуада нет столь идиотских цифр в 30-35%, а есть в 5-30%, причем чем старше поколение тем выше процент. При этом не факт, что в итоге даже эти цифры останутся. На том же ананде предпочитают для начала покопаться в доках и коде, а потом делать выводы. В отличие от фанато-помоек. Те же ТПУ говорят о слухах.

Факт один - есть баг который нельзя пофиксить на уровне железа, прошивкой, только через патч ОС. А цифры от 0 до 200% - это да, предстоит выяснить. Для типичного юзера-геймера вангую 3-10%, т.е. ничего серьезного, но "эмуляция" подгаживать будет.

А маркетилоги АМД не знают слово "отдых"

Во-первых, уязвимости две.
Meltdown, о которой говорится (и которая еще не особо изучена) и Spectre, которой подвержены процессоры Интела, АМД, АРМ и айбиэм включая зет и пауэр 8 и 9.
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://meltdownattack.com/

Добавлено спустя 2 минуты 44 секунды:
Еще по теме.
Чтобы фанам амд не радоваться. На самом деле проблемы у большинства процессоров. Только безграмотные Сози тащат с помоек бредятину.
https://googleprojectzero.blogspot.ru/2018/01/reading-privileged-memory-with-side.html

Добавлено спустя 2 минуты 9 секунд:

Типичный геймер ничего не увидит.
Потому что мельтдаун касается виртуальных машин и возможностей доступа к системной памяти из них. Точнее не доступа, а доступа доя чтения. А вот вторая уязвимость, кстати, жесть. Позволяет инжектировать команды из одного процесса в другой.

Наибольшие они таки у процессоров интела, к сожалению для их владельцев:
#77

Вы меньше заявлений от АМД читайте. Во-первых не факт, что у АМД с мельтдауном все в порядке.
А во вторых подавляющего большинства пользователей это не касается. От слова вообще.
Кстати, скорее всего прочесть можно только то, что скэшировано в L1D ядра.
Почитал перлы от АМД. Первая проблема их касается, там те жемпатчи нужны. Вторая "мы верим, что нас не касается, потому что другая архитектура" это звездец. У интеловских архитектур тоже различная с бульдозерами архитектура. Третья - та же отмазка.
На следующей неделе Интел представят данные и там будет видно. Пока что, судя по словам Интел, у АМД тоже не все весело, в отличие от заявлений их днинжинеров.

Именно так. Но зачем синие тролли полезли в эту тему с графиками производительности игр - только им известно.

Так ясен фиг, что новость Sozi опубликовал задолго до того, как Google опубликовал свою статью. И эта статья совсем о другой уязвимости.

Во-первых, в статье ничего не сказано о Zen: https://googleprojectzero.blogspot.ru/
А во-вторых, уже подтвердили, что Zen пофиг на эксплойты Meltdown: https://twitter.com/ryanshrout/status/9 ... 7244018689
А Spector исправляется приложениями.

Вообщем, арм уже подтвердили https://developer.arm.com/support/security-update, что кортексы в большинстве своем уязвимы и для мельтдауна... Так что дзены скорее всего тоже попадут

Чего? Цену определяет рынок, если на нем более одного игрока. Дурачок.

https://twitter.com/nicoleperlroth/stat ... 6249962496
Все гораздо веселее. Это затрагивает все процессоры на рынке.

У гугла в документе прямым текстом написано, что доказательств того, что Meltdown не аффектит AMD никаких - просто их текущая реализация не смогла это сделать, но есть явные предпосылки, что проблемы могут быть и там, читайте внимательно:


А вообще Spectre пострашнее будет - от Meltdown пусть и с замедлением, но ясно, как в принципе защищаться, а вот от Spectre пока решения нет. А этот баг точно есть на всех интелах, амд, ARM64, актуальных POWER и т.д. Вообще на всем, кроме старья без out-of-order execution типа атомов ранних поколений или простых ARM'ов и подобного.

Добавлено спустя 6 минут 51 секунду:

Вы сильно не правы. Это спектр касается в первую очередь виртуальных машин (и то, по факту - не только). А мельтдаун касается просто возможности из одного приложения видеть абсолютно все данные другого. У них демонстрационный пример украл пароли из открытого браузера, просто из другого процесса видят данные из памяти браузера.

Не все данные. А кэшированные в L1D, скорее всего. Со скоростью до 2000 байтов/секунду.

Добавлено спустя 6 минут 48 секунд:
Кстати, вполне вероятно, что задержка с кэннонлэйками связана с этими уязвимостями.

удаленно почти не возможно что-то получить, точней возможно если сунуть вирусню, но там и куча других обходов, программных.

Да, действительно. Есть только две проблемы - практически все данные оказываются в L1D в какой-то момент и пока нет гарантий, что это действительно так.

А вот 2000 байт это из другой оперы (одна из разновидность spectre): meltdown их прога, как пишут, уже сейчас дампит до 503 KB/s, и не факт, что быстрее нельзя..

Добавлено спустя 2 минуты 37 секунд:

Гм. Так пока неясно даже как определять, что ты подвергся атаке!
А насчет "удаленно".. Сейчас столько технологий, исполняющих удаленный код используется каждый день - JIT-машины для ускорения JS, например, что я бы не был так уверен... Вообще, документы только опубликовали, инфы там много, и еще не все виды использования этих атак раскрыты - вот посмотрят специалисты на это в ближайшие дни-месяцы, думаю, найдут немало способов эксплуатировать :-/

Так обе уязвимости требуют внутреннего специально спрепарированного ПО.
Потому первыми и зашевелились облачные сервисы и всякие хостинги. Там запустить ПО может внешний пользователь.

Добавлено спустя 9 минут 45 секунд:

С одной стороны - да. С другой, я вот внимательно прочел, у них часть попыток атаки фэйлится. Конечно, теоретически можно все узнать из кэша первого уровня. Но... Это еще и расшифровать нужно уметь. В принципе, конечного пользователя это мало затрагивает, тут скорее гос.учреждения, банки, интитуты и критичная инфраструктура.


да, я увидел, что ошибся.
Но вот возможности спектра.... Это просто жесть. Такая себе маленькая ядерная бомба.


Ну, эксплуатировать сложно. Нужны ОЧЕНЬ серьезные эвхаристические алгоритмы или "провоцирование" системы на определенные действия. Все равно хорошего мало.

сам можешь проверить, не маленький

Добавлено спустя 8 минут 54 секунды:
Y0! запусти стим клиент, закладка справка, сведения о системе, а ты вещаешь про опрос с сайта, но с сайта не поиграть.