<div><div dir="auto">Russell</div><br><div class="gmail_quote"><div dir="auto">On Wed, Jan 3, 2018 at 11:59 PM Russell Reiter <<a href="mailto:rreiter91@gmail.com">rreiter91@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><br><br>On January 3, 2018 10:56:30 PM EST, Dhaval Giani <<a href="mailto:dhaval.giani@gmail.com" target="_blank">dhaval.giani@gmail.com</a>> wrote:<br>><a href="https://googleprojectzero.blogspot.ca/2018/01/reading-privileged-memory-with-side.html" target="_blank">https://googleprojectzero.blogspot.ca/2018/01/reading-privileged-memory-with-side.html</a><br>>gives the gory details<br>><br>>At this point, I cannot stress on how important it is to update your<br>>systems as soon as your distribution ships them. I am hoping this<br>>remains to be a once in a lifetime event.<br><br></div><div dir="auto">I admire your optimism. To me it looks like this is a kind of example of  feeping creaturisim in hypervisor's; not necessarily an easy patch. </div></blockquote><div dir="auto"><br></div><div dir="auto">I am unsure what you are implying. This is a hardware issue which has been fixed in software. There are exploits out already that I am seeing able to run through your web browser. This is serious stuff. Also unsure what this has to do with hypervisors apart from them also needing to mitigate this exploit.</div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><br><br>The idea of the necessity of some sort of kernel isolation has been around for quite a while. In part as a response to the ease with which userland interpreters can polute kernelspace.<br><br><a href="https://lwn.net/Articles/39283/" target="_blank">https://lwn.net/Articles/39283/</a><br><br>I've read that some of the proposed solutions could add as much as a 30% operational overhead. Not much of an issue for average home users but for enterprise this could be a real game changer.<br></div></blockquote><div dir="auto"><br></div><div dir="auto">The 30% overhead is for a pathological case. A 5-10% overhead is more likely. And do you honestly think that upstream is not going to work on getting that overhead down?</div><div dir="auto"><br></div><div dir="auto">Dhaval</div></div></div>