не дебил, почитай сценарии возможных уязвимостей, и какова вероятность для тебя?

Возможно Интел совместно с МС "на тормозах" спускают дело с мельдонием.Не удивлюсь если через некоторые время всетаки выпустят настоящий патч и Интелы начнут оставать

не отжать а зашифровать что бы ты удалил свою коллекцию и не фапал на дядек, а фапал на ФПС

вы прочитайте что эта за уязвимость а том пишите "с чего" может вам начать с поиска ответов прям в новости? это опять ошибка спекулятивного исполнения команд тчк
что это значит? да все тоже самое что и прошлые уязвимости опять тот же самый блок цпу просто новый вид атаки... теперь я задам вопрос с чего вдруг прошлые влияли на сервера, а эта нет? и еще раз "скриптик" это "реализация" уязвимость это уязвимость. представьте как было легко понято то, но вы даже не пытались...

Ну а куда же им ещё податься, бедным...

никогда такого не было и вот опять.

Так я прочитал. Могу подробно вам разжевать свой тезис: чтобы это напрямую аффектило сервера (в большом количесвте) - на них должен исполнятся клиентский скрипт, паразитирующий на этом эксплойте.
Если нет скрипта-паразита - нет и уязвимости, серверный софт как работал так и будет, безопасность в .. мм.. безопасности

Данный факт уже уменьшает масштаб до .. фактически, только cloud серверов, где в виду очень редкого (но таки существующего) типа дизайна крутятся раритетные куски кода, позволяющие пользователям создавать и выполнять такого рода скрипты. Именно для них затыкачки делать и будут. На всякий случай.

On-premise сервера, которые под контролем конкретной фирмы и не позволяют запускать сторонний код (надо же, какие гады!) - not affected от слова вообще.

Финальный вывод: если у вас дома нормальный антивирус и вы не скачиваете/не выполняете всякую хрень с левых сайтов - то ваша коллекция пор.. ээ.. бизнес-документов - в полной безопасности.
А серверам, вцелом, тоже начхать - хайпа больше чем реальной угрозы.
Кому надо - просто постучит и спросит, почему ключи шифрования в этом месяце в "контору" не занесли.

Ах да, в такого рода атаках неплохо бы всем понимать - насколько невероятно сложно создать скрипт, который укекает/стырит ту память, в которой что-то важное. это некисло так "звезды сойтись" должны. особенно в javascript. особенно при современный обьемах оперативы и посвседневных привычках пользователей.

Уязвимость есть, бесспорно. Но её опасность для нас и подавляющего большинства фирм - стремится к абсолютному нулю. И даже ниже.

Где угодно можно найти уязвимости, если целенаправленно искать. Факт в том, что вероятность таких сценариев такая же, как если бы все планеты в 1 ряд встали. А все эти глупые комменты тут от АМДанутых, что видно по лицемерию и спаму смайликами. Оправдывают тормознутость своих кукурузенов тем что там типа уязвимостей меньше, не волнуйтесь, если кто то захочет найти, найдёт, просто всем на АМД пофиг. Ну и реально, ваши "данные" никому не нужны

Ох уж эти сказки, ох уж эти сказочники.

Однозначно не нужны. Мой ПК всегда в сети, берите что хотите, вся нужная и важная инфа на полочке без энергоподключения. Но никому не нужны игрушки и фильмы, 100 метров ничего не значащих доков и кучка фоток для соцсетей (остальные на полочке)...

> Да кому нужны ваши данные
Мои данные могут быть нужны много кому. Большая часть этих людей даже не будет сильно интересоваться, кто я такой. Если уязвимость массовая (и предполагаем, что ее практическое использование будет возможно), то и собирать данные можно массово.
Никому не нужна конкретно моя страница в ВК. А вот возможность получить сразу несколько тысяч страниц в ВК (возможно, включая мою) уже выглядит интересно для той же рассылки спама. Ну да, потом мою страницу заблокируют. Ну да, я смогу потом потратить время и восстановить страницу. Но это не отменяет того, что проблемы для меня будут на пустом месте и из ниоткуда.
Точно так же можно собирать любые данные, например. Особенно если учесть, что большАя часть пользователей использует один и тот же пароль для всех своих аккаунтов. Были бы данные, а уж как их заиспользовать - найдут способ.
Ну и да, кейс с точечной атакой никто не отменял. Человек А искренне жаждет что-то от человека Б (начиная от ревнующих подростков, которые хотят почитать чужую переписку в ВК, заканчивая желанием получить компромат с электронной почты конкурента). Чем проще человеку А совершить атаку на конкретного человека Б, тем больше шансов, что атака будет совершена.
> Вы и так даете кучу данных, чего переживаете
То, что я уже даю кучу данных каким-то определенным ресурсам, не говорит о том, что я хотел бы давать данные всем и каждому. Я в идеале и тем ресурсам бы хотел свои данные не давать.

Отмечу еще раз - это важно, если практическое применение уязвимости будет возможным и не особо затратным.
Все же, кто уверены, что их данные никому не нужны - а можете скинуть мне в личку свои логины-пароли с оверклокерса, от ВК и почтовых ящиков? Не думайте, вряд ли я что-то там найду, что меня заинтересует, так что и поделиться будет несложно, не так ли?

Чем такое покупать
Лучше деньги собирать
Много денег накопить
И на Intel всё спустить

https://www.forbes.com/sites/kenkam/201 ... 1b82277961

Мамкины эксперты по ИБ в треде пришли к выводу, что Интелу капец
Камрады, напоминаю вам, у АМД и АРМ подобного не нашли ровно по той причине, что не искали, нет причин полагать, что дыр у них меньше. А пребывают они в роли неуловимого Джо потому, что в датацентрах слабо представлены - это не уязвимости, чтобы шифровать ваши документы или спереть интимные фото. Пробежался глазами по оригинальному отчету, сложилось впечатление что эксплуатировать уязвимость куда труднее чем даже спектр - сама по себе она позволяет только раскрыть физический адрес в памяти, чтобы считать данные по этому адресу исследователи использовали другую уязвимость - Rowhammer, но от нее есть защитные механизмы реализованные в некоторых процессорах и модулях памяти, а реальные эксплоиты - нативные приложения, пожирающие всю память, есть и Rowhammer.js, но это лишь poc - жертва должна часами, а то и днями держать открытой страницу, пожирающую всю память.
Вообще всем интересующимся рекомендую ознакомиться с Rowhammer - уязвимость полностью победить до сих пор не могут, актуальна для разных вендоров и архитектур, позволяет получать данные и повышать привилегии а еще это просто очень красиво (высокоуровневый эксплоит низкоуровневой уязвимости).

вообще-то нашли. spectre - АМД/Интель/Арм, meltdown - Интель/Возможно АМД/точно некоторые ARM.

yuryz, ты прав, это тоже side-channel атаки, так что подобное таки нашли. Хоть и не искали)
Я не так выразился, имел в виду, что не нашли специфичных для вендора или архитектуры уязвимостей, подобно сабжевой.
А мелтдаун со спектром искали и нашли на камнях интела, но они оказались актуальны не только для них.

сами исследователи признавались что при разработке у них на руках были тока камни интела . то что баг подошел и к амд -совпадение

В стародавние времена считалось, что радуга — символ божественных проявлений. А потом пришли всякие и давай рассказывать как оно есть на самом деле (за что некоторых и сожгли). Во времена Core первого поколения о "spoiler", "spectre" и др. никто слыхать не слыхивал. И опять же, пришли всякие и давай рассказывать, что есть оказывается такая зараза. Отсюда вопрос, как можно было защититься от того, чего ещё не придумали?

Спойлер: найден новый тип уязвимости в процессорах Intel под названием Спойлер: найден новый тип уязвимости в процессорах Intel под названием Спойлер: найден новый тип уязвимости в процессорах Intel под названием Спойлер:...

Meltdown - плавленный. Spoiler - испорченный. Сыр.
#77

если реально эти "наши" данные никому не нужны, какого фига тогда правительство США столько денег вливает в эту слежку? Почему фесбук установленный на телефон использует ресурсы вашей мобилы в своих целях? Наивность 80лвл. Давай рассказывай дальше, как наши данные не нужны, я послушаю