[opensuse-es] bug en AMD?

older
[opensuse-es] ¿Porque será que el...

miguel gmail

15 Mar 2018 15 Mar '18

17:45

https://www.theregister.co.uk/AMP/2018/03/13/amd_flaws_analysis/?__twitter_i... No lo he leído aún... -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Show replies by thread

Carlos Ayala

15 Mar 15 Mar

19:16

2018-03-15 12:45 GMT-05:00 miguel gmail :

...

https://www.theregister.co.uk/AMP/2018/03/13/amd_flaws_analysis/?__twitter_i...

No lo he leído aún...

-- Saludos, miguel

Los agujeros negros son lugares donde dios dividió por cero.

Black holes are places where god divided by zero.

Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Yo tampoco, pero en la mañana (cerca del medio día GMT), leí un titular en /. que creo que menciona la nota y a Linus Torvalds. ( http://www.zdnet.com/article/linus-torvalds-slams-cts-labs-over-amd-vulnerab... ) No encontré la nota en /. pero arriba está el enlace del comentario de Linus. Encontré este titular en /. ¿Pueden las vulnerabilidades de AMD ser usadas para engañar el mercado de valores? (https://it.slashdot.org/story/18/03/15/1441224/can-amd-vulnerabilities-be-us...) Incluye un ejemplo de años atrás. Habrá que esperar la opinión del pingüino melenudo. =D -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Juan Erbes

19:51

El 15 mar. 2018 4:17 p.m., "Carlos Ayala" escribió:

...

2018-03-15 12:45 GMT-05:00 miguel gmail :

...
https://www.theregister.co.uk/AMP/2018/03/13/amd_flaws_analysis/?__twitter_i...

No lo he leído aún...

-- Saludos, miguel

Los agujeros negros son lugares donde dios dividió por cero.

Black holes are places where god divided by zero.

Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Yo tampoco, pero en la mañana (cerca del medio día GMT), leí un titular en /. que creo que menciona la nota y a Linus Torvalds. ( http://www.zdnet.com/article/linus-torvalds-slams-cts-labs-over-amd-vulnerab... ) No encontré la nota en /. pero arriba está el enlace del comentario de Linus.

Encontré este titular en /. ¿Pueden las vulnerabilidades de AMD ser usadas para engañar el mercado de valores? (https://it.slashdot.org/story/18/03/15/1441224/can-amd-vulnerabilities-be-us...) Incluye un ejemplo de años atrás.

Habrá que esperar la opinión del pingüino melenudo. =D

Según el texto del link original : RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing. Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador. Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público. Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD. No es ni mas ni menos que el famoso y viejo juego sucio de intel, para combatir o frenar la competencia. Salu2 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Carlos E. R.

20:27

On 2018-03-15 18:45, miguel gmail wrote:

...

https://www.theregister.co.uk/AMP/2018/03/13/amd_flaws_analysis/?__twitter_i...

No lo he leído aún...

https://www.meneame.net/story/anuncio-vulnerabilidades-seguridad-amd-parece-... «El anuncio de las vulnerabilidades de seguridad de AMD parece tener motivaciones económicas [ENG]» «Si tienes una compañía de seguridad con 16 años de experiencia, ¿tu sitio web no debería tener protección SSL (HTTPS)? Varias partes de su sitio web en su oferta de negocios, han sido copiadas de documentos PDF accesibles al público. Dos horas después del comunicado de prensa, un vendedor en corto llamado Viceroy Research publicó un anuncio de que las 'revelaciones' serían el golpe de gracia para AMD. Esta sincronización es un tanto "extraña", horas después de que la información saliese, ya tenían un documento de 32 páginas listo en solo 1 hora» --> http://www.guru3d.com/news-story/amd-security-vulnerability-%E2%80%93-the-da... https://www.meneame.net/story/linus-torvalds-gente-seguridad-ha-alcanzado-nu... «Linus Torvalds: “la gente de seguridad ha alcanzado un nuevo nivel de bajeza”» «No es un secreto que Linus nunca ha sido un fan de lo que él llama el circo de la seguridad informática y siempre ha buscado un balance en el sistema del pingüino en el que se respete la usabilidad de Linux y predomine la calidad del código sobre todo. Ahora, en su cuenta de Google+, le ha dado otra vuelta de tuerca al asunto y se permite darles un consejo a los profesionales de la seguridad, algo que poner en su curriculum o tarjeta de presentación.» --> http://lamiradadelreplicante.com/2018/03/14/linus-torvalds-la-gente-de-segur... -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" at Telcontar)

Carlos E. R.

20:29

On 2018-03-15 20:51, Juan Erbes wrote:

...

El 15 mar. 2018 4:17 p.m., "Carlos Ayala" <> escribió:

...

Según el texto del link original :

RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing.

Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador.

Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público.

Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD.

No metas a Intel en esto, no son tan burdos. El origen es otro. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" at Telcontar)

Juan Erbes

16 Mar 16 Mar

01:23

El día 15 de marzo de 2018, 17:29, Carlos E. R. escribió:

...

On 2018-03-15 20:51, Juan Erbes wrote:

...
El 15 mar. 2018 4:17 p.m., "Carlos Ayala" <> escribió:

...

...
Según el texto del link original :

RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing.

Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador.

Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público.

Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD.

Del mismo link que tu dejaste: "Según Torvalds el mundo de la seguridad informática ha alcanzado un nuevo grado de bajeza.....todo esto viene a raíz del anuncio de un fallo en procesadores AMD (RYZEN y EPYC), que supuestamente incluirá vulnerabilidades y backdoors, descubierto por la firma israeĺi CTS Labs. Bueno…si todavía no lo visteis en este humilde blog es que no es tan grave (no es un Spectre o Meltdown para entendernos). Son como esos virus que se anuncian cada cierto tiempo para Linux, que tienen sus minutos de gloria en los titulares de la prensa más ruin. Ahora últimamente también incluyen un bonito nombre, logo y pagina web dedicada. ¿Sabéis lo que tienen todos esas cosas en común? O necesitan credenciales de root y la buena voluntad del usuario para suicidarse o bien acceso físico a la máquina."

...

No metas a Intel en esto, no son tan burdos. El origen es otro.

Meltdown y Spectre pasan factura a Intel e impulsan a AMD Intel cae cerca de un 10% en el inicio del año, frente al 9% al alza de AMD http://www.bolsamania.com/noticias/tecnologia/meltdown-y-spectre-pasan-factu... ¿Casualidad? Para mi no! Es una continuidad del juego sucio de intel, que viene de la epoca de los 386, cuando AMD ya fabricaba procesadores más rapidos y de menor consumo, y que intel tubo que hacerle juicio a AMD, argumentando "que le habían robado los microcódigos". En todo caso, lo burdo es el "fallo de seguridad" atribuido a AMD, y no por nada, el apuro en hacer publica esa supuesta falla. A mi, con solo leer "la firma israeĺi", ya me trae mala espina! Uno de los problemas de parchear innecesariamente el kernel Linux de los micros AMD: https://www.techpowerup.com/240187/amd-struggles-to-be-excluded-from-unwarra... -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Carlos E. R.

02:03

On 2018-03-16 02:23, Juan Erbes wrote:

...

El día 15 de marzo de 2018, 17:29, Carlos E. R. escribió:

...
On 2018-03-15 20:51, Juan Erbes wrote:

...
El 15 mar. 2018 4:17 p.m., "Carlos Ayala" <> escribió:

...

...
Según el texto del link original :

RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing.

Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador.

Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público.

Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD.

Del mismo link que tu dejaste:

¿Y donde pone que Intel ha sacado esta publicidad?

...

"Según Torvalds el mundo de la seguridad informática ha alcanzado un nuevo grado de bajeza.....todo esto viene a raíz del anuncio de un fallo en procesadores AMD (RYZEN y EPYC), que supuestamente incluirá vulnerabilidades y backdoors, descubierto por la firma israeĺi CTS Labs.

Bueno…si todavía no lo visteis en este humilde blog es que no es tan grave (no es un Spectre o Meltdown para entendernos). Son como esos virus que se anuncian cada cierto tiempo para Linux, que tienen sus minutos de gloria en los titulares de la prensa más ruin. Ahora últimamente también incluyen un bonito nombre, logo y pagina web dedicada.

¿Sabéis lo que tienen todos esas cosas en común? O necesitan credenciales de root y la buena voluntad del usuario para suicidarse o bien acceso físico a la máquina."

...
No metas a Intel en esto, no son tan burdos. El origen es otro.

Meltdown y Spectre pasan factura a Intel e impulsan a AMD

Si, pero no tienes ninguna prueba que sea Intel el que haya publicado esto. No son los únicos malvados que hay en el mundo. Tu tienes la mosca en la oreja con Intel y siempre que sale algo les tiras a ellos. No eres imparcial a este respecto. Siempre son los de Intel los malvados de todo. ¡Venga ya...! -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" at Telcontar)

Pinguino Patagonico

13:36

El día 15 de marzo de 2018, 23:03, Carlos E. R. escribió:

...

On 2018-03-16 02:23, Juan Erbes wrote:

...
El día 15 de marzo de 2018, 17:29, Carlos E. R. escribió:

...
On 2018-03-15 20:51, Juan Erbes wrote:

...
El 15 mar. 2018 4:17 p.m., "Carlos Ayala" <> escribió:

...

...
Según el texto del link original :

RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing.

Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador.

Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público.

Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD.

Del mismo link que tu dejaste:

¿Y donde pone que Intel ha sacado esta publicidad?

...
"Según Torvalds el mundo de la seguridad informática ha alcanzado un nuevo grado de bajeza.....todo esto viene a raíz del anuncio de un fallo en procesadores AMD (RYZEN y EPYC), que supuestamente incluirá vulnerabilidades y backdoors, descubierto por la firma israeĺi CTS Labs.

Bueno…si todavía no lo visteis en este humilde blog es que no es tan grave (no es un Spectre o Meltdown para entendernos). Son como esos virus que se anuncian cada cierto tiempo para Linux, que tienen sus minutos de gloria en los titulares de la prensa más ruin. Ahora últimamente también incluyen un bonito nombre, logo y pagina web dedicada.

¿Sabéis lo que tienen todos esas cosas en común? O necesitan credenciales de root y la buena voluntad del usuario para suicidarse o bien acceso físico a la máquina."

...
No metas a Intel en esto, no son tan burdos. El origen es otro.

Meltdown y Spectre pasan factura a Intel e impulsan a AMD

Si, pero no tienes ninguna prueba que sea Intel el que haya publicado esto. No son los únicos malvados que hay en el mundo.

Esto es una guerra económica, similar a la del Dieselgate, donde pagaron a x laboratorio "para que hiciera una investigación" de algo que sabían la mayor parte de los fabricantes, porque el proveedor de los sistemas de inyección es el mismo (Bosch), y ellos son quienes cargan el software en la computadora del coche. Al final de cuentas, resultó que casi el 50% utiliza software para engañar los sistemas de testeo (algunos tan burdos como un timer de 22 minutos, en el caso de Fiat), y el 95% tiene motores mas sucios. https://www.motor.es/noticias/diesel-mas-limpios-201627550.html CTS-Labs acaba de publicar "una nueva vulnerabilidad" de los micros Ryzen: Dice que los microprocesadores Ryzen dejan de funcionar cuando reciben un martillazo con una maza de 1 kilo, a una velocidad de 10 metros/segundo. Todo un ejemplo se seriedad en seguridad informática, esta empresa israelí pagada por intel! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Juan Erbes

13:56

El día 16 de marzo de 2018, 10:36, Pinguino Patagonico escribió:

...

El día 15 de marzo de 2018, 23:03, Carlos E. R. escribió:

...
On 2018-03-16 02:23, Juan Erbes wrote:

...
El día 15 de marzo de 2018, 17:29, Carlos E. R. escribió:

...
On 2018-03-15 20:51, Juan Erbes wrote:

...
El 15 mar. 2018 4:17 p.m., "Carlos Ayala" <> escribió:

...

...
Según el texto del link original :

RYZENFALL allows malicious code to take over the AMD Secure Processor in Ryzen, Ryzen Pro, and Ryzen Mobile chips. Exploitation requires being able to run a program locally with administrator privileges. CTS-Labs claims there's no mitigation, despite AMD's recent released BIOS update that is supposed to disable the Secure Processor, thus killing off the whole thing.

Claramente, se debe ejecutar localmente, con privilegios de administrador, y bajo esa condición no es necesario la existencia de alguna vulnerabilidad para extraer datos o dañar el sistema, teniendo privilegios de administrador.

Por otro lado también dice que deberían haber notificado primero a AMD y pasados 30 días recién hacerlo público.

Como Intel viene mal parado con lo de las vulnerabilidades, es un contragolpe para tirar abajo las acciones de AMD.

Del mismo link que tu dejaste:

¿Y donde pone que Intel ha sacado esta publicidad?

...
"Según Torvalds el mundo de la seguridad informática ha alcanzado un nuevo grado de bajeza.....todo esto viene a raíz del anuncio de un fallo en procesadores AMD (RYZEN y EPYC), que supuestamente incluirá vulnerabilidades y backdoors, descubierto por la firma israeĺi CTS Labs.

Bueno…si todavía no lo visteis en este humilde blog es que no es tan grave (no es un Spectre o Meltdown para entendernos). Son como esos virus que se anuncian cada cierto tiempo para Linux, que tienen sus minutos de gloria en los titulares de la prensa más ruin. Ahora últimamente también incluyen un bonito nombre, logo y pagina web dedicada.

¿Sabéis lo que tienen todos esas cosas en común? O necesitan credenciales de root y la buena voluntad del usuario para suicidarse o bien acceso físico a la máquina."

...
No metas a Intel en esto, no son tan burdos. El origen es otro.

Meltdown y Spectre pasan factura a Intel e impulsan a AMD

Si, pero no tienes ninguna prueba que sea Intel el que haya publicado esto. No son los únicos malvados que hay en el mundo.

Esto es una guerra económica, similar a la del Dieselgate, donde pagaron a x laboratorio "para que hiciera una investigación" de algo que sabían la mayor parte de los fabricantes, porque el proveedor de los sistemas de inyección es el mismo (Bosch), y ellos son quienes cargan el software en la computadora del coche.

Al final de cuentas, resultó que casi el 50% utiliza software para engañar los sistemas de testeo (algunos tan burdos como un timer de 22 minutos, en el caso de Fiat), y el 95% tiene motores mas sucios.

https://www.motor.es/noticias/diesel-mas-limpios-201627550.html

CTS-Labs acaba de publicar "una nueva vulnerabilidad" de los micros Ryzen:

Dice que los microprocesadores Ryzen dejan de funcionar cuando reciben un martillazo con una maza de 1 kilo, a una velocidad de 10 metros/segundo.

Todo un ejemplo se seriedad en seguridad informática, esta empresa israelí pagada por intel!

Muy cierto, y muy ridículas son las cosas que publica esta "empresa"! Uno de "los fallos", dice que puede estropear el firmware de la bios. Cualquiera que alguna vez grabó la memoria flash de un microcontrolador, o simplemente actualizó la bios de un pc, sabe que ese mismo software que se usa para grabar la bios, se puede modificar y utilizarlo para que no haga las verificaciones de seguridad del archivo con el que se va a "flashear" la bios, y reemplazar el archivo de la bios por basura. Ovbiamente, que esas supuestas "investigaciones", están dirigidas a gente que no sabe nada. No por nada el enojo de Linus Torvalds! "Torvalds sees CTS-Labs' discovery more as stock manipulation than a security advisory. "When was the last time you saw a security advisory that was basically 'if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?' Yeah," he said on Google+. "I thought the whole industry was corrupt before, but it's getting ridiculous." Exaggerating, or indeed fabricating a security risk, is one way to manipulate the stock price of a tech giant. Then there's the question of the legitimacy of CTS-Labs as a company, especially as it admitted that it has a vested interest in the performance of AMD stock." www.theinquirer.net/inquirer/news/3028437/amd-ryzen-epyc-cpus-critical-flaws-linus-torvalds-fake No por nada eligieron el nombre "RYZENFALL", como parte de esa publicidad engañosa, de deslegitimar al microprocesador mas avanzado y de precio mas accesible de la actualidad. Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Carlos E. R.

16:01

On 2018-03-16 14:56, Juan Erbes wrote:

...

El día 16 de marzo de 2018, 10:36, Pinguino Patagonico <> escribió:

...
El día 15 de marzo de 2018, 23:03, Carlos E. R. <> escribió:

...

Ovbiamente, que esas supuestas "investigaciones", están dirigidas a gente que no sabe nada.

No por nada el enojo de Linus Torvalds!

"Torvalds sees CTS-Labs' discovery more as stock manipulation than a security advisory.

Pues claro. Fué una operación para sacar beneficios en la bolsa en corto. No dice que fuera Intel quien sacara o empujara el bulo. -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" (Minas Tirith))

2234

Age (days ago)

2235

Last active (days ago)

List overview

Download

9 comments

5 participants

participants (5)

Carlos Ayala
Carlos E. R.
Juan Erbes
miguel gmail
Pinguino Patagonico

[opensuse-es] bug en AMD?

tags

participants (5)