Så de har mao haft gott om tid att faktiskt banka ur ev problem med sin grund...
Ändå har inte detta skett?
Verkar som du missat att just Spectre och Meltdown är ganska gamla buggar vid detta laget. Och ja, precis som alla andra gånger du tar upp dem, visst är nästan alla påverkade.
Det innebär dock inte att alla dessa har lika stora sprickor i varenda säkerhetsfunktion de verkar ha. SGX tex... en funktion som var ny med Skylake, har haft problem 5 gånger redan. Detta var en funktion, specifikt byggd för att köra skyddad kod, som visar sig inte bara vara sårbar om och om igen, den visar sig dessutom vara farlig då den kan skydda skadlig kod.
Artikeln här och nu är regält mycket mer allvarlig än spectre/meltdown i sig, då det är ett hål du kan förfalska allt från hårdvaru ID till djupare skydd. Du kan stänga av SMT så slipper du en hel del problem... men hur ska du stänga av detta??
Så snälla lägg ner sopkvasten nu, den behövs inte. Det blir inte mindre illa när denna nivå av säkerhetshål sker, bara för du kan skylla på att andra har minsann hål de med. Faran du borde veta med många av dessa attacker är att du vet verkligen inte när du drabbats.
Och detta är helt klar relevant info. Som jag sa ovan, AMD må ha satsat på säkerhet, men de är inte 100%, de har hål de med. De har dock inte haft så många revisioner på sig att fixa det, och SMT är trots allt nytt för dem. Bulldozer hade en helt annan typ av design för multi-tråd användning, vilket ironiskt nog faktiskt är mindre sårbar i många av dessa attacker. (Självklart inte i en L1 cache dock)
Så vad du konstaterar är att de fel vi redan vet finns, i ny variant, som du själva nedan säger det inte finns någon känd aktiv vektor/användning, finns i AMDs SMT också. Vad jag kan se föreslår de också lösningar på fix med bla microkod som löser problemet, vs: "...en variant som omöjligt kan åtgärdas genom uppdaterad firmware." i artikeln, anser jag Intels ganska mycket allvarligare.
Det som du bör komma ihåg dock är att man som sagt kan styra rätt mycket via mjukvara numera. Överklock/frekvenser/spänning mm kan lätt sättas via mjukvara. Just detta användes ju för att knäcka SGX. Med tanke på att man känner hur illa dessa patcher som redan släppts påverkar äldre Intel CPUer (speciellt Ivy och äldre) när de multitaskar tungt, så är fler lappningar inte direkt positivt.
Tro mig, jag sov lugnt med Meltdown och Spectre också, men de börjar gå liiite väl skrämmande djupt med buggarna ny när tom deras designade säkerhetsfunktioner är fulla av hål.
Och som @filbunke postade här ovan många verkar leta buggar febrilt även i AMD CPUer, på andras bekostnad. Om ändå Intel hade spenderat dessa pengar mellan Core2 och Skylake istället för 5+ år sedan... tänk så mycket buggar man hade hittat
Håller med om att den sårbarheten som är i artikeln är i praktiken värre än spectre/meltdown. Om/när man faktiskt lyckas utnyttja den sårbarheten har man något som faktiskt är användbart mot en relativt stor grupp av system, vilket är var alla de andra fallerar på. Det är inte den första och knappast den sista buggen man kommer hitta i CSME.
Även om sättet RyzenFall, MasterKey, Fallout, and Chimera presenterades var en 💩, så verkar de sårbarheterna aldrig patchas (säkerhetsforskarna hävdade att de inte såg hur man skulle kunna patcha dessa hål).
Visst har SGX haft sårbarheter, men så har även motsvarigheten i Epyc. Det är av förståeliga skäl mindre intresse för AMD då de inte alls är lika stora i datacenter.
Så det handlar långt mer om att ha en plan hur man hanterar säkerhetshål när de väl upptäcks än att tro att man på något realistiskt sätt kan designa något som saknar säkerhetshål. Vi jobbar nu mer design där man förutsätter att det kommer fall när någon tar över systemet med full "root-access", men där man ändå kan utföra de mest kritiska funktionerna med bibehållen integritet.
Vad Intel, i alla fall så här långt, hanterat bättre än AMD är att när den "tysta" perioden tagit slut så har Intel haft en patch klar. AMD har inte ens svarat forskarna som hittade Take A Way, de hävdade initialt att Zen inte var mottagligt för Spectre v2 (vilket forskarna ifrågasatte och ville ha en förklaring till varför, då ändrade AMD sig och fixade en patch) och man lovade en patch för dyngan CTS Labs hittade men googlar man på det verkar det aldrig släppts någon.
Just säkerhet är ännu en punkt hos en allt längre lista av saker som gör Aarch64 till ett bättre val. Även om "big-core" ARM är mottagliga för i princip samma sårbarheter m.a.p Spectre/Meltdown så är de väsentligt mycket svårare att utnyttja då klockcykelexakt tidsmätning samt flush-ing av CPU-cache är privilegierade instruktioner där medan de inte är det på x86 (skulle bryta bakåtkompatibilitet att fixa det på x86). Så Intel har absolut motlut på detta område!
Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer
