Re: [Lista Criptica] Meltdown / Spectre

Delete this message

Reply to this message
Author: drymer
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] Meltdown / Spectre
Bones

Un petit resum es:
- Meltdown:
- Afecta només a intel
- Es una vulnerabilidat fácil d'explotar però fácil d'arreglar
- Debian y RH (que jo sapiga) tenen actualització de kernel disponible per a arreglar-ho, ubuntu aquest matí ni (azure tambè, així que suposo que windows tambè)

- Spectre:
- Afecta a qualsevol CPU de menys de 15 anys
- Es una vulnerabilitat difícil d'explotar però difícil d'arreglar (no te solució, de fet)
- Es una cagada de diseny, per tant només es pot mitigar
- Certs programes seran els encarregats d'actualitzarse per controlar aixo (aixo no ho tinc tan clar, pero diria que un exemple son els navegadors)

Hi ha més informació a la página oficial, ja sigui https://spectreattack.com o https://meltdownattack.com/.

Saluts

On Fri, Jan 05, 2018 at 12:15:04AM +0100, Alejandro Adán Navarro wrote:
>Estic en desacord amb el que has dit sobre Windows. vdo ja va dir per aquí
>fa un temps que “[…] també cal entendre que algú nómada pugui necessitar
>fer servir el disc extern en equips que no son el seu.”. Jo hi afegeixo que
>hi ha aplicacions que només estan disponibles a Windows i que, per tant (o
>per altres motius), un usuari o un administrador de sistemes pot no
>tenir-ho fàcil per abandonar Windows. En aquestes circumstàncies (en totes,
>realment), un usuari de Windows ha de poder gaudir del nivell de
>seguretat/privadesa que li permeti el seu sistema i l’ús que en fa, així
>que ser-ho no l’incapacita per ser en aquesta llista. Si jo fos
>administrador d’alguna infraestructura Windows, conèixer els problemes de
>privadesa de Windows no em faria actuar de manera despreocupada davant
>d’aquestes vulnerabilitats: ho trobo un tret al peu. Sembla que per a Linux
>hi ha un pedaç per a Meltdown amb implicació del propi Linus Torvalds: [1].
>
>Estoy en desacuerdo con lo que has dicho sobre Windows. vdo ya dijo por
>aquí hace un tiempo que “[…] també cal entendre que algú nómada pugui
>necessitar fer servir el disc extern en equips que no son el seu.” (“[…]
>también hace falta entender que alguien nómada pueda necesitar usar el
>disco externo en equipos que no son el suyo”). Yo añado a eso que hay
>aplicaciones que solo están disponibles en Windows y que, por lo tanto (o
>por otros motivos), un usuario o un administrador de sistemas puede no
>tenerlo fácil para abandonar Windows. En estas circunstancias (en todas,
>realmente), un usuario de Windows debe poder disfrutar del nivel de
>seguridad/privacidad que le permita su sistema y el uso que hace de él, así
>que serlo no le incapacita per estar en esta lista. Si yo fuera
>administrador de alguna infraestructura Windows, conocer los problemas de
>privacidad de Windows no me haría actuar de manera despreocupada ante estas
>vulnerabilidades: lo considero un disparo en el pie. Parece que para Linux
>hay un parche para Meltdown con implicación del propio Linus Torvalds: [1].
>
>[1] <
>https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf>
>via/vía <
>https://hothardware.com/news/intel-cpu-bug-kernel-memory-isolation-linux-windows-macos>
>via/vía <https://twitter.com/never_released/status/947935213010718720>
>via/vía <
>http://www.eldiario.es/cultura/tecnologia/vulnerabilidad-Intel-reducir-rendimiento-ordenador_0_725477852.html
>>
>
>--
>*Alejandro* Adán Navarro
>Cubometa <http://www.cubometa.com>
>
>2018-01-04 22:18 GMT+01:00 <4856@???>:
>
>> Fa poques hores que he conegut el "0 day" del Meltdown / Spectre.
>>
>> Pel poc que he llegit, la gran majoria dels ordinadors estan afectats (ja
>> que Intel és la companyia que més hardware disposa).
>>
>> Pel que diuen aquesta vulnerabilitat la taxen de "la vulnerabilitat més
>> gran en anys" però no sé si és cert o és una forma d'alarma excessiva.
>>
>> Algú que sàpiga del tema, ens pot comentar de forma molt resumida en què
>> es veu afectat el PC.
>>
>> Algú sap si els sistemes operatius de Linux (Ubuntu i Tails) (entenent que
>> Tor en el moment el sistema operatiu estigui "parcheado" estarà arreglat)
>> tindran en els pròxims dies actualitzacions per evitar Meltdown / Spectre ?
>>
>> Pels que encara useu Windows (que espero que aquí no hi hagi ni un), crec
>> que ja han tret una actualització, però no ho se segur.
>>
>> Però com que Windows, per defecte ja us roba les dades, jo no em
>> preocuparia per si han tret una actualització o no.
>>
>> ____________________________________________________________
>> _________________________________________________
>>
>>
>> Hace pocas horas que he conocido el "0 day" del Meltdown / Spectre.
>>
>> Por el poco que he leído, la gran mayoría de los ordenadores están
>> afectados (puesto que Intel es la compañía que más hardware dispone).
>>
>> Por el que dicen esta vulnerabilidad la tasan de "la vulnerabilidad más
>> grande en años" pero no sé si es cierto o es una forma de alarma excesiva.
>>
>> Alguien que sepa del tema, nos puede comentar de forma muy resumida en que
>> se ve afectado el PC.
>>
>> Alguien sabe si los sistemas operativos de Linux (Ubuntu y Tails)
>> (entendiendo que Tor en el momento el sistema operativo esté "parcheado"
>> estará arreglado) tendrán en los próximos días actualizaciones para evitar
>> Meltdown / Spectre ?
>>
>> Por los que todavía usáis Windows (que espero que aquí no haya ni un),
>> creo que ya han sacado una actualización, pero no lo se seguro.
>>
>> Pero cómo que Windows, por defecto ya os roba los datos, yo no me
>> preocuparía por si han sacado una actualización o no.
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>>


>_______________________________________________
>list_criptica mailing list
>list_criptica@???
>Lista de correo de debate de Criptica