Názory k článku
Intel má úpravu jádra, které bude hlásit starý mikrokód jako zranitelnost

Ta idea sama o sobě dává smysl: pokud pozitivně víme, že firmware není nejnovější dostupný, má smysl upozornit, že systém je potenciálně zranitelný. Problém vidím v tom, že většina lidí si neuvědomí, jak moc jednosměrná ta implikace je (vzhledem k možnostem implementace) a budou naivně předpokládat, že když žádnou indikaci nevidí, jsou v pohodě.

Otázka je, zda to tu většinu lidí bude zajímat.

dnes ani běžné skenovací nástroje nedetekují/neumí detekovat, jestli je aplikován aktuální mikrokód, protože jim to OS prostě neřekne. Tohle míří spíše na nasazení do firem, běžný uživatel buď neaktualizuje vůbec nebo aktualizuje, pak mikrokód má.

To s tím běžným uživatelem bych ani neřekl. Pokud je s počítačem online, tak si většinou aktualizuje distribuci, kde typicky bývá i balíček s posledními Intel mikrokódy (přesně z toho repa). Pokud má někdo starou distribuci se skončenou podporou, nebo ji úmyslně neaktualizuje, tak je to samozřejmě jiná věc, ale to bych řekl, že je spíš ojedinělé.
U Windows jsem na to viděl také specifické aktualizace s mikrokódem, ale nejsem si jist jestli tam dávají rovnou všechno, co Intel vydá.

Ale s tímhle novým patchem si nejsem úplně jistý, jestli jsem to dobře pochopil. Upřímně mi to nedává moc smysl prakticky. V kernelu bude teď tedy nějaký statický seznam posledních verzí mikrokódu pro konkrétní CPU, pokud bude aktuální mikrokód starší, vyhodí to jako zranitelnost. Dobře ale kolik lidí, co si aktualizuje distribuce, bude mít aktuální kernel (resp. LTS nebo nějaký starší distribuční s backportovaným seznamem) a zároveň nebude mít ten zmíněný balíček s novými mikrokódy?
Možná mi tam něco úplně uniká (koukal jsem na to fakt z rychlíku).
Nebo to má nějak indikovat každé CPU od Intelu, co už je v době vydání kernelu mimo podporu a už mu nevyjde žádný další mikrokód.. (jakože např. teď cokoli staršího než Coffee Lake je nebezpečné)..?

OS tu nekde v hloubi schovanou ma (treba na Linuxu /proc/cpuinfo, Windows to maji v registrech), to spis jen ty skenovaci nastroje se o tuto informaci prilis nezajimaji.

V té poslední větě máte pravdu. Říkám si, proč zrovna vulnerable? Proč to nenazvat pravým jménem? Třeba outdated nebo podobné slůvko. Starý mikrokód nutně nemusí být zranitelný.