Rapport hävdar säkerhetshål i processorer och styrkretsar från AMD

Det är ett fint ideal, inte lika bra rent praktiskt. Jag håller dock med såtillvida att det värsta alternativet är att permanent hemlighålla det hela, men det finns som sagt en kompromiss som brukar fungera bra.

Jag vet dock inte om jag förstår bil-liknelsen alls. Särskilt inte när vi nu talar om hur man hanterar brister som upptäcks i redan producerade produkter.

Om du med "säkerhet" för bilar avser krocksäkerhet så finns det ju inte samma dynamik inom det området. Det finns helt enkelt ingen drivkraft som utnyttjar säkerhetsbrister, (nästan) ingen ser någon uppsida med att ge sig ut och ramma osäkra bilar för att döda ägarna av denna bilmodell. Så om det var liknelsen så ter den sig rätt irrelevant.

Om du menar bilarnas inbrottssäkerhet/stöldsäkerhet eller liknande så vet inte dels inte om det verkar stå så bra till på det området, och sedan har jag svårt att tro att det anses accepterat bland biltillverkarna om man publicerar hur man typ bygger en radiosändare som kan låsa upp alla bilar av modell x, utan någon som helst förvarning.

Tja, oavsett syftet kan jag inte annat än konstatera att dokumentet har namngetts fel, eller helt rätt, beroende på hur man ser det. Oavsett vilket, blir det inte särskilt trovärdigt.

Det är inte ett tekniskt "white paper", men det är helt korrekt uppbyggt som ett för marknadsföring utformat "white paper". Är detta medvetet eller en blunder?

Om sårbarheterna är äkta så finns det fall där det faktiskt spelar roll.
Tänk en ljusskygg anställd i en serverhall, en myndighet som vill spionera eller industrispionage.
Att kunna flasha biosen för att läsa det krypterade minnet är något som en säkerhetstjänst/polis mm kan vara intresserad av utan användaren/operatörens vetskap.
Allt känns som en cirkus men om det finns ett uns av sanning så hoppas jag att problemen adresseras.

Wow.

Detta börjar likna svensk politik!

Nyhetsartikel? Är de en nyhet när det är löst sammansatt rapport?
"utan att...lyfta fram...sensationalistiska...rapporten" Men du lägger god tid på att foga ihop bilder i snygg kollage.
"Frågetecknena kring...säkerhetshålen...ekonomiska agendor...exempel på intrång och CVE" Är detta att visa folk som läser att
SweClockers rapporterar osakligt? Ni lägger 7/8 text + Bilder på kritik, en topik som smakar sämre än rutten grissvål.
Å i slutet lägger ni vad som man kan uppfatta nån typ av friskrivning så ni i framtiden kan hävda annat.

Om du redan vid nyhet hade dina aningar vilket du anger så ska du väl för helsike inte skriva in det som en "NYHET"
Utan starta kanske med "Rykte" om det känns aktuellt att skriva.
Folk som läser nyhet generellt läser alltsomoftast trådrubrik å kanske några rader inpå själva nyhet.

Ni tar inte någon som helst kritik i denna fråga då ni vet mer än väl att vi har AMD/INTEL/NVIDIA/APPLE grupperingar.
Förslagsvis kanske börja med 2´stegs verifiering. Visst de kostar, men de säkrar kraftigt mot subjektiva känslor/bedömningar.
Jag vidhåller i de starkaste att detta är en skämt nyhet som har dragit ner er i mera skit än vad den gagnat i click.

Gamers Nexus visade lite stake och granskade källorna så gott det gick och, jodå, det verkar som att firman som står bakom det här, är en hedgefund tjossan som har som affärside att hitta nyheter som denna och sedan sälja kort. Dom säger även själva att dom faktiskt har ett ekonomiskt intresse i disclaimern.
Mao, deras affärside går ut på att manipulera marknaden, något som är olagligt. Kruxet är dock att om dom visar upp, som i detta fall en sårbarhet som faktiskt finns, så är det ju mer en insider-trading grej, fast utifrån. Så det kan bli lite klurigt att sätta dit dom för det här.

Dom har tydligen sett hur Intels aktie gick efter att meltdown/spectre avslöjades och påbörjade sin plan med att regga CTS Labs, och hyra in nån som jobbat med att ta fram sårbarheter på AMD's cpu'er. (datum etc). Men det verkar som att dom har klantat sig och hyrt in nån PR-firma som mest verkar göra grejor för kickstarter. Fast det kanske räcker med en dags förvirring för att dom ska kunna sälja och casha in.
Finns all anledning att granska detta företag i sömmarna, för deras affärsmodell utesluter inte möjligheten att detta skulle kunna vara ett beställningsjobb. Inte för att jag tror det, det här är nog bara girighet, ingen konspiration, men affärsmodellen är lite väl upplagd för att dom skulle kunna anlitas som "hitmen" på marknaden. ( låter lite väl foliehatt, men i dessa omoraliska tider så vet man aldrig vad coke-smurfarna kan hitta på )

Ja källkritikens lära är tamef*nimig nästan noll hos alla.
Vi har en kraftigt degradering i frihet på ingång.
Å mera kommer... *suck*

Källa på det?

Intel har ca 10k anställda i Israel, främst i Haifa.

Givet att Intel har runt 10k anställda i Chandler AZ, ca 13k anställda i Santa Clara and Folsom CA samt ca 19k anställda i Portland OR (så minst 42k anställda i USA, alla dessa siter har väldigt hög andel anställda som jobbar med FoU), tycker du det då blir mer eller mindre sannolikt att detta är ett "hit job" beställt av Intel?

Ganska dåligt försök i sådana fall. Men är ingen expert på aktiemanipulation, än.

Skulle rekommendera Intel helt klart. Bästa processorerna för priset.

Köper det mest prisvärda. Det råkar bara vara intel för det mesta.

Även om det visar sig att Cts-labs gjort på detta vis för egen ekonomisk vinning så kvarstår ju frågan, är informationen om säkerhetsbristerna sann?
Om den är det så påverkas ju inte sårbarheternas allvar av eventuella oegentligheter kring motivet till när/hur detta publicerats av Cts-labs.

Vänder mig nu inte specifikt till Lordsqueak: Det känns i den här tråden som att många resonerar som att om det är något fuffens kring Cts-labs agerande så är alltihopa hittepå. Det känns inte alls som någon självklar slutsats, även om det förstås är en möjlighet.

Jag ser ju mest fram emot klarhet vad gäller den tekniska frågan, dvs i princip AMDs svar. Cts-labs förehavanden känns inte alls lika intressanta ur mitt perspektiv.

Min åsikt, fritt för dig å tycka/tänka vad du vill.

Att CTS verkar vara så pass oseriösa och ha dåliga avsikter bör göra att man hanterar detta med stor skepsis. Än så länge verkar det inte finnas några framlagda bevis och inga etablerade säkerhetsexperter verkar vara särskilt imponerade så här långt.

Jag ser också fram emot att få klarhet i frågan - vi har blivit hookade av det här. Men frågan är om inte det beror mer på att i princip all media jag nöjesläser på internet tog upp det här inom loppet av ett par timmar. Historien är just nu mer intressant än vad det väldigt eventuella problemet är.

Det väl säkerhetsbristen det handlade om, inte den illvilliga koden som utnyttjar säkerhetsbristen?

När det nu är så att det finns ett utbrett intresse (inte sällan med direkt ekonomisk vinning) att skriva illvillig kod som utnyttjar de brister som upptäcks så är det ur mitt (och många andras) perspektiv rimligt att ge tillverkaren informationen på förhand och en tidsbegränsad chans att rätta felet innan man publicerar informationen om den ännu inte allmänt kända säkerhetsbristen. Det är en kompromiss för att minimera riskerna/skadan för användarna.

Jag håller nog med dig när det gäller intentioner. Jag har dock svårt att se hur det här sättet att publicera leder till att det blir bättre för användare - det blir bara kaos. En månad eller tre är fortfarande snabbt och då kan alla få en klar bild på vad det gäller när säkerhetsbristerna publiceras.

Nu vet vi ju ändå inte in eller ut. Det ges just nu (eller igår iaf) en väldigt skev bild av vad implikationerna är av dessa (eventuella) säkerhetsbrister.

Om anklagelserna visar sig vara falska då? AMD fick inte ens en vettig mängd tid att konfirmera om dessa säkerhetshål ens existerar.
Att kasta ut massa anklagelser som utan att ens få en vettig tid att konfirmera det, gör mer skada än nytta.

Och det är rätt uppenbart att hela syftet var att orsaka skada mot AMDs rykte än att försöka varna slutanvändare. Finns en anledning det är en branch standard att ge en resonabel 90 dagars tid att åtgärda ett säkerhets hål innan man publicerar det.

En bra start verkar vara att inte låta någon med adminrättigheter och signade drivisar flasha om din bios

Ja, "publiceringen" är under all kritik. Green-screen youtube video? Varför? Alla verkar överens om att det hela var väldigt dåligt gjort, ett bra exempel på hur man INTE ska göra. Publicera en "rapport" full med ad hominem-argument etc? Tidigt april-skämt eller vad? Listan är fånigt lång på hur oseriöst och dåligt det hela är. CTS låtsas om att det ligger på AMDs bord att bevisa att de inte har säkerhetshål, helt otroligt idiotiskt. Om de nu ömmade om slutanvändare är hela deras sensationella förfarande väldigt märkligt.

Därmed inte sagt att det inte finns några svagheter. Det kan mycket väl finnas svagheter, dock har vi ännu ingen aning om hur allvarliga de är. Vi har ingen exempelkod etc. Techpowerup publicerade en uppdatering idag där de säger att CTS har skickat exempelkod med mera till diverse stora företag (bla FireEye). Så kanske får vi veta snart från mer seriöst folk hur det ligger till? Kanske mer än en skärmdump på en BIOS skärm där det står "1337" i hörnet...