|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
18/01/04 18:43
Meltdown 관련해서 예쁜 짤 하나 보고가세요..
https://twitter.com/misc0110/status/948706387491786752
18/01/04 18:48
이런게 진짜 가능한건가요? 이러면 개인 금융 보안도 그렇고 기업들이나 기관들 입장에선 호러인거같은데... 이번 이슈 알못이라 이런 수준인지는 몰랐는데...
18/01/04 19:14
일반적으론 사용자가 접근불가능한 프로그램과 시스템 사이의 암호화된 메모리 영역까지도 열쇠 없이 맘대로 접근할수있는거라 이 난리가 난거죠.
18/01/04 18:46
점심에 패치했어요!
SSD 속도가 10% 정도 느려진거 빼곤 별 다른 문제점은 없는 것 같아요. 앞으로 5년은 더 거뜬 할 것 같아요. -이상 샌디 할배-
18/01/04 18:49
(수정됨) 이 문제를 구글에서 처음 발견한게 17년 6월이고, 인텔에 보고를 했고 그 사이에 각 기업에 연락하여 물밑작업을 한 다음에 발표는 이번 1월에 한 거라, 6개월간 왜 말하지 않은 것에 대한 구린 점이 또 있습니다.
18/01/04 18:58
CNBC 보도의 말미에 이에 대해 Krzanich의 변명이 있긴 합니다.
Krzanich said the entire industry was planning to publish the data security issue once the fix was in place — but the problem leaked early. "Why did it leak ahead of time? Somebody was doing some updates on a Linux kernel and they improperly posted that this was due to this flaw," Krzanich said. "That's why we're responding to it today." 즉, (취약점들이 미치는 영향이 워낙 커서) 산업 전체가 이 문제를 해결하고 해결책이 준비 되었을 때 공개하기로 했었다. 그러나 일부가 리눅스 커널에 패치를 먼저 하면서 이 패치의 이유가 취약점 때문이라고 오픈하면서 어쩔 수 없이 해결책이 다 준비가 안 된 상태에서 공개할 수 밖에 없었다. 한마디로 미리 공개한 네놈들이 나쁜 놈? 이라는 뉘앙스네요. 회사 말아먹는 CEO의 전형이 아닐까 싶네요.
18/01/04 19:04
공개되고 나서 며칠 만에 패치해서 해결됬는데 헛소리죠. 그냥 숨기고 조용히 해결하려고 했는데 안된 것 뿐이고, 독점 기업 (서버시장 점유율이 독점 수준) 아니었으면 전량 리콜 처분 받아도 할 말이 없는 보안 이슈인데 즉시 공개하지 않은 건 도의적 책임이 없을 수 없죠.
18/01/04 19:19
음 근데 그건 아닌거같은게 보안 취약점은 발견되면 공개하기 전에 패치 할 시간을 주기는 줘요. 보통경우엔 90일정도 주는데 이번 경우는 임팩트가 좀 크다 보니 그 기간이 긴 거 같구요
특히 이번 결함 발견한 구글 project zero팀은 저 90일 안에 안고치면 그냥 오픈시키기로 유명한 곳이구요 구글 블로그 가봐도 (https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html) 1/9일에 공개하기로 한건 사실인거같아요
18/01/04 19:31
크자닉 CEO가 역대 인텔 CEO 중에 문제가 많은 사람인 것도 맞고 저 변명도 안하는게 낫다고 봅니다만 말씀해주신 것에 부연하고 싶네요.
1. 패치가 며칠 만에 된 것은 아닙니다. 작년 6월에 일부 보안 전문가들이 문제점을 발견 -> 인텔 통보(혹은 동시에 다른 회사들 일부에도 통보) -> 영향 받는 주요 업체들에 통보. 이런 흐름이기 때문에 패치가 일반에 공개된 것이 며칠 밖에 안 된 것이지 실제로 패치는 오랫동안 개발 및 확인 단계를 거칩니다. MS Windows의 패치가 나왔는데 OS 패치는 내부 개발 및 QA를 거치는 사이클이 있고 이번처럼 위협이 심각하면서 성능에도 영향이 생기는 패치는 최소 한달 이상의 검증 기간을 거칩니다. 그리고 맥루머에 따르면 맥OS는 이미 10.13.2 에서 이것을 보완한 패치를 적용한 상태라고 하니 MS와 함께 애플도 사전 통보를 받았을 것이고 리눅스 일부 커널 개발자돌에게도 전달은 오래 전에 되어서 개발이 되었을 겁니다. 2. 심각한 보안 이슈일 수록 즉시 공개할 수 없습니다. 예전에 보안 SW 회사에서 근무할 때 경함한 바로는 취약점 선공개는 금지되어 있습니다. 자체적으로 발견했을 때도 그렇지만 외부 전문가들도 발견하면 트위터나 블로그 등에 올리지 않고 일단 해당 회사에 통보해서 해결책을 찾도록 돕거나 기다려줍니다. 왜냐하면 회사는 문제가 정말 존재하는지, 패치가 정말 문제를 해결하는지, 부작용은 없는지 내부 검증 프로세스가 반드시 필요하기 때문입니다. 반면에 그 취약점을 이용하는 악성 해커들은 이런 걱정할 필요가 없기 때문에 똑같은 시간에 정보를 입수한다고 하면 훨씬 빠르게 바이러스나 맬웨어 만들어서 뿌립니다. 즉, 공개로 인해 피해 규모가 더 커지고 부작용이 심각해집니다. 다만, 해당 회사에 통보를 했음에도 불구하고 계속 대응이 없는 경우에는 일반 대중에게 공개해서 해당 회사에 패치를 촉구하게 됩니다. 모회사 스마트폰 취약점 중의 하나도 외부 전문가가 이메일을 보내 체크 후 회신해달라고 했는데 계속 무응대로 일관해서 결국 공개 후, 패치했던 적이 있습니다.
18/01/04 20:10
공개가 이번에 된거지.. 애플만 해도 12월 6일에 패치했습니다.
주요 업체들은 저 문제점에 대해서 몇개월전에 이미 알고 있었고. 대응 준비중이였던거죠. 대형 보안 이슈는 '문제가 되자마자 바로 일반에 공개하면 그게 해커들보고 해킹하세요~' 라고 하는 일이기 때문에 관련 업체에 제보하게 되며. 해당 제보 내용은 '일정 기간동안 비공개 상태로 수정한 뒤에 공개하는게 정석입니다' 애플이 적용해놓고도 비공개로 한 것도, 엠바고 기간이기 때문에 공개하지 않은 것이라고 하니까요.
18/01/05 09:41
패치가 되고 나서 공개가 되는게 최선이죠.
패치가 되기 전에 공격하는 걸 zero day 공격이라고 하는데 패치가 만들어지기 전에 정보가 공개되면 크래커들이 zero day 공격을 하기 딱 좋은 상황이 되는 겁니다. 물론 6개월은 좀 너무 긴 기간이긴 합니다.
18/01/04 19:49
70% 는 rs4 쓰시는 분이라 다른 변수가 너무 많아요. 변인 통제도 제대로 안된 테스트 결과만 보고 그렇게 떨어진다라고 얘기 할 수는 없습니다.
하스웰이후는 전체적으로 성능 하락폭이 미미하거나 없는 수준이 다수이고 일부 성능 하락이 있는 유저도 극히 일부를 제외하고는 30% 70% 까진 떨어지지는 않습니다. 애초에 ssd 쓰기 속도 = 성능도 아니고요.
18/01/04 20:39
70% 그분은 정말 특이한 경우같지만 10~30% 분은 꽤 있습니다. 대부분 M.2 NVMe 쓰시는분들이 같은 현상을 보이고 있어요.
원래 엄청나게 빠른 편이라 쓰기속도 30%정도 빠져도 실사용에는 별 무리 없다지만 원래 속도를 못내는건 충분히 문제가 많은거죠. 물론 아직까지 더 지켜봐야 하겠지만...
18/01/04 19:45
사실 제일 큰 타격을 받을 대상은 가상화 기능을 적극적으로 활용하던 클라우드 업체들이죠...
근데... CPU도 펌웨어 업그레이드가 되는지... 아니면, 바이오스 업데이트 등으로 잡을 수 있는건지도 궁금하네요.
18/01/04 20:11
Spectre 취약점이 CPU 디자인쪽 문제라 다음 디자인 나오기 전까지는 패치가 어렵다고 하는 걸로 봐서는 BIOS 업데이트로는 안 되는 수준 같습니다.
18/01/05 00:06
아... 와이프한테 컴 250만원 견적 맞추는거 허락 받아놔서 이거 저거 고르고 질문하고 있었는데...
이런 시련이 생기네요... 암드쪽으로 알아봐야 하나 ㅠ
18/01/05 16:58
18/01/05 10:52
쿨앤조이 보니까 30%하락 아니라던데요? 개인인 경우는 딱히 I/O 속도저하 없다고 합니다.
I/O연산이 매우 많은 서버 정도나 영향이지 개인은 그냥 저런일도 있구나 하고 넘어가도 무방할듯요.
18/01/05 16:59
케이스 바이 케이스 같습니다. 말씀하신데로 영향이 거의 없는 유저가 많을 것 같고 영향이 큰 유저도 있을 것 같고 제 생각엔 여러 벤치마크 사이트에서 이걸로 테스트 해서 올릴 것 같으니 그걸 보고 판단해도 될 것 같습니다.
18/01/05 22:15
구글 팀에 따르면 성능 하락은 별로 없다고 합니다.
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
18/01/05 22:14
가지고 계신 컴이 x64에 윈10이면 그거 하셔도 되고 최근꺼는 모두 하셨다면 델타 업데이트를 하셔도 됩니다.(지금 현재 화면으로 위에서 3번째) 델타 업데이트는 모든 업데이트를 합친게 아니고 이번 업데이트만 포함한 버전이라 용량이 더 작습니다.
|
||||||||||||