アカウント名:
パスワード:
AMDやARMではまともに情報公開すらされませんからねえ
AMDに関してはアーキテクチャが異なるのでmeltdownは影響なし、spectreに関してもLinuxでeBPF JIT有効時のみ攻撃に成功したという結果なのでWindows上では大きな影響はないんじゃないか?
AMDは影響ないと言ってるけど、Googleは影響があると言ってる。どちらが正しいのかは、私には分からない。
> AMDは影響ないと言ってるけど、Googleは影響があると言ってる。> どちらが正しいのかは、私には分からない。
どこからそんなデタラメ情報得てるんでしょう?
Google Project Zero の情報: https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memor... [blogspot.jp]とAMD の公式情報: https://www.amd.com/en/corporate/speculative-execution [amd.com]に矛盾はありません。
Google Project Zero では今回の話として以下の3種類を報告してますが・CVE-2017-5753 (variant 1, spectre)・CVE-2017-5715 (variant 2, spectre)・CVE-2017-5754 (variant 3, meltdown)Google Project Zero が書いているのは、以下の通り。1. CVE-2017-5753の手法に関して、投機実行の結果を読むことはAMDでもできる。ただしこれは原理確認であって権限外のメモリを読んでいるわけではない。2. BPF JIT が有効な場合、AMDのCPUでもCVE-2017-5753の手法でカーネルメモリを読める。ただし BPF JITはデフォルトでは無効3. CVE-2017-5715についてはIntel CPUでのみ確認。AMDについては何も言っていない。4. CVE-2017-5754についてはIntel CPUでのみ確認。AMDについては何も言っていない。
AMDの公式情報だと以下の通りです。・CVE-2017-5753 は AMDも影響を受ける・CVE-2017-5715 は AMDも影響を受ける (1/3日の時点では影響は確認されていないという表現だったが11日に訂正)・CVE-2017-5754 は AMDだと影響を受けない
AMDの発表は1月3日と11日にあり、11日に訂正が入っていますが、3日の発表も、11日の発表も、Google Project Zero の発表とは矛盾がありません。
「AMDは影響ないと言ってるけど、Googleは影響があると言ってる」というデマのソースはどこなのでしょう?ひょっとすると #3345787 の独自解釈でデマを書いているってことなんでしょうか?
AMDはゼロリスクとか吹いてた奴のせいじゃね?#誰とはいわんが
> AMDはゼロリスクとか吹いてた奴のせいじゃね?
たしかにそういう人もいましたね。あれはあれで問題。でもAMD信者の発言とAMDの発言を区別できないのも問題。
ここは少し違う。>4. CVE-2017-5754についてはIntel CPUでのみ確認。AMDについては何も言っていない。
Googleの論文を見ると、ARMやAMDのCPUも影響ある可能性あるけど実証できていないと書かれている。それに対してAMDは影響がないと言ってるけど、理由は書かれていない。技術的な解説があれば信頼できるけど、今のところ100%大丈夫と言い切っていいものかどうか私には分からない。
もちろん、「AMDは影響ないと言ってるけど、Googleは影響があると言ってる」という主張ではないですが。
> それに対してAMDは影響がないと言ってるけど、理由は書かれていない。
理由は一応「due to our use of privilege level protections within paging architecture」って書かれてます。メモリから読んでキャッシュに格納するまでのどこかのタイミングで、TLBを参照してアクセス権限検査を行っててキャッシュへは格納されないって意味じゃないでしょうか。各種の meltdown PoC 各種でも AMD では再現できてないようだし信用してよいのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
公開されることが素晴らしい、というのがビジネスの世界 (スコア:0)
AMDやARMではまともに情報公開すらされませんからねえ
Re: (スコア:0)
AMDに関してはアーキテクチャが異なるのでmeltdownは影響なし、spectreに関してもLinuxでeBPF JIT有効時のみ攻撃に成功したという結果なので
Windows上では大きな影響はないんじゃないか?
Re: (スコア:0)
AMDは影響ないと言ってるけど、Googleは影響があると言ってる。
どちらが正しいのかは、私には分からない。
Re:公開されることが素晴らしい、というのがビジネスの世界 (スコア:1)
> AMDは影響ないと言ってるけど、Googleは影響があると言ってる。
> どちらが正しいのかは、私には分からない。
どこからそんなデタラメ情報得てるんでしょう?
Google Project Zero の情報: https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memor... [blogspot.jp]
と
AMD の公式情報: https://www.amd.com/en/corporate/speculative-execution [amd.com]
に矛盾はありません。
Google Project Zero では今回の話として以下の3種類を報告してますが
・CVE-2017-5753 (variant 1, spectre)
・CVE-2017-5715 (variant 2, spectre)
・CVE-2017-5754 (variant 3, meltdown)
Google Project Zero が書いているのは、以下の通り。
1. CVE-2017-5753の手法に関して、投機実行の結果を読むことはAMDでもできる。ただしこれは原理確認であって権限外のメモリを読んでいるわけではない。
2. BPF JIT が有効な場合、AMDのCPUでもCVE-2017-5753の手法でカーネルメモリを読める。ただし BPF JITはデフォルトでは無効
3. CVE-2017-5715についてはIntel CPUでのみ確認。AMDについては何も言っていない。
4. CVE-2017-5754についてはIntel CPUでのみ確認。AMDについては何も言っていない。
AMDの公式情報だと以下の通りです。
・CVE-2017-5753 は AMDも影響を受ける
・CVE-2017-5715 は AMDも影響を受ける (1/3日の時点では影響は確認されていないという表現だったが11日に訂正)
・CVE-2017-5754 は AMDだと影響を受けない
AMDの発表は1月3日と11日にあり、11日に訂正が入っていますが、
3日の発表も、11日の発表も、Google Project Zero の発表とは矛盾がありません。
「AMDは影響ないと言ってるけど、Googleは影響があると言ってる」というデマのソースはどこなのでしょう?
ひょっとすると #3345787 の独自解釈でデマを書いているってことなんでしょうか?
Re: (スコア:0)
AMDはゼロリスクとか吹いてた奴のせいじゃね?
#誰とはいわんが
Re: (スコア:0)
> AMDはゼロリスクとか吹いてた奴のせいじゃね?
たしかにそういう人もいましたね。あれはあれで問題。
でもAMD信者の発言とAMDの発言を区別できないのも問題。
Re: (スコア:0)
ここは少し違う。
>4. CVE-2017-5754についてはIntel CPUでのみ確認。AMDについては何も言っていない。
Googleの論文を見ると、ARMやAMDのCPUも影響ある可能性あるけど実証できていないと書かれている。
それに対してAMDは影響がないと言ってるけど、理由は書かれていない。
技術的な解説があれば信頼できるけど、今のところ100%大丈夫と言い切っていいものかどうか私には分からない。
もちろん、「AMDは影響ないと言ってるけど、Googleは影響があると言ってる」という主張ではないですが。
Re: (スコア:0)
> それに対してAMDは影響がないと言ってるけど、理由は書かれていない。
理由は一応「due to our use of privilege level protections within paging architecture」って書かれてます。
メモリから読んでキャッシュに格納するまでのどこかのタイミングで、TLBを参照してアクセス権限検査を行っててキャッシュへは格納されないって意味じゃないでしょうか。
各種の meltdown PoC 各種でも AMD では再現できてないようだし信用してよいのでは?