Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
nebejt intelu tak by davno it specialisti na skolach nemeli co zrat, protoze by nebylo na co vypisovat granty.. vivat intel! (:
To je určitě zajímavé a dobrá práce, ale nemyslím, že by to mělo nějaký velký impakt na reálný svět. Připojovat cokoli k počítači představuje vždy bezpečnostní riziko a lidi se podle mě dělí na dvě skupiny - jedna o tom ví a počítá s tím a druhé je to tak jako tak fuk. Nemyslím, že by existovala nějaká skupina lidí, kteří sice neutorizovanou potenciálně útočnou USB myš z principu nepřipojí, ale zrovna u Thunderboltu by byli přesvědčeni, že je bezpečný a tak by si tam strkali nějaké na ulici nalezené cokoli.
tak ted nevim, jesli sem to nepochopil blbe, ale me z toho spis vychazi, ze na pet minut odejdu od zaheslovanyho komlu a utocnik mi ho za tu chvili zvladne nabourat a ani to nezjistim..
Jo, ale já jsem třeba celkem přesvědčený, že při útoku stejným principem přes USB - nebo klidně třeba i displayport - se přesně toto může stát taky. :-)
Je to přesvědčení podloženo zdrojem? Zcela vážně by mě to zajímalo.
Nemyslím žádnou konkrétní chybu, ale obecně třeba chyby v ovladačích:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=usb
Třeba DP obecně USB protokol přenáší, takže útok monitorem je reálný. Minimálně určitě dosáhneš primitivně DoS, pokud si uděláš token, který bude mít na výstupu třeba 50V.
Intel by měl zvážit přejmenování na Bugintel
Jasne ze jen Intel, sfaill u grafickych karet AMD (RX 5**, útok, ktery může být spuštěn uvnitř hostujícího hostitele VMW) jsou v poradku ze jo :
Byly zveřejněny celkem čtyři bezpečnostní chyby, z nichž všechny měly dopad na ovladač AMD ATIDXX64.DLL .
Jde jiz o čtvrtou chybu zabezpečení, ovlivňena ovladačem AMD ATIDXX64.DLL , verze 26.20.13031.10003, 26.20.13031.15006 a 26.20.13031.18002 (stejné řady grafických karet a platformy).
porovnaj pocet a zavaznost chyb vsetkych troch hracov....
intel "vyhrava" s velkym naskokom.
Uff. Netýkalo se to náhodou jen VMware Workstation 15.0 a ovladačů AMD v té době aktuálních? Mám pocit že tenhle "fail" byl do měsíce vyřešen a že zdaleka nemuselo mít máslo na hlavě AMD.
Například jsem se včera setkal s tím, že VMware Player 14.8 (ten nejnovější z 14 řady) při zapnuté 3D akceleraci sestřeloval RDP na guestu(okamžitě po připojení). A taky netvrdím, že to zoslil VMware. Ono to totiž začalo zlobit až po aktualizaci W10. A na hostu byla Intel grafika. Svět není černobílý.
Komentář Intelu.
“In 2019, major operating systems implemented Kernel Direct Memory Access (DMA) protection to mitigate against attacks such as these. This includes Windows (Windows 10 1803 RS4 and later), Linux (kernel 5.x and later), and MacOS (MacOS 10.12.4 and later). The researchers did not demonstrate successful DMA attacks against systems with these mitigations enabled. Please check with your system manufacturer to determine if your system has these mitigations incorporated. For all systems, we recommend following standard security practices, including the use of only trusted peripherals and preventing unauthorized physical access to computers.“
Ve chvíli kdy má útočník možnost se hrabat šroubovákem v notebooku, je už chyba jinde. Úplnou katastrofu bych z toho nedělal. Kdo odkládá notebooky často na veřejných místech, může TB vypnout v BIOSu.
PS: Podařilo se někomu na Win spustit ten Thunderspy check? Mně to hlásí problémy se získáváním ACPI.
já bych z tooh katastrofu dělal. Jak dlouho je s náma TB? A u intelu jsou imuní jenom TB který jsou mladší roku?
ShInTeL SeCuRitY 1o1%
RuLeZz... :DD
Cituji Svět Androida: "Intel právě vede diskusi s Ministerstvem obrany Spojených států Amerických o zlepšení v oblasti domácích zdrojů mikroelektroniky a s ní spojených technologií. Toto prohlášení poskytl tisku William Moss, mluvčí firmy Intel. Dále dodává, že Intel je v dobré pozici, aby mohl americké vládě poskytnout dodávky široké škály bezpečné americké mikroelektroniky. "
A že je treba fyzický prístup k PC sa k bulvárnemu článku už moc nehodí že????!!!!!!!!!!!!! Čo už čakať od stránky "OneManShow" "no-x" a ešte jedného zúfalca :-)
Tve kognitivni funkce budou na bodu mrazu a nebo si clanek necetl :)
Ty to niekde v článku vidíš???
hele, nevim jak ty, ale my co mame predplaceny premium tam vidime..
'' útočník s přístupem k danému rozhraní ''
jesli to tam ostatni nemaj, tak by se na it webu daly cekat zakladni znalosti jako ze kdyz chces neco strcit do konektoru, tak k nemu musis mit pristup.. ;)
Máš pravdu, už to vidím. Sry, mea-culpa
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.