Legitim und dennoch fragwürdig: Sicherheitsforscher beschreiben 12 Lücken in AMD-Prozessoren (2. Update)

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.167
Legitim und dennoch fragwürdig: Sicherheitsforscher beschreiben 12 Lücken in AMD-Prozessoren (2. Update)
amd_logo.jpg
Eine Sicherheitsfirma namens CTS-Labs hat ein Whitepaper veröffentlicht, welches 12 Sicherheitslücken in der Zen-Architektur beschreibt. Vorweg sei gesagt, dass das Unternehmen auf der einen Seite erst 2017 gegründet, die Domain www.amdflaws.com aber erst Ende Februar 2018 registriert wurde. Hinzu kommt, dass man AMD wohl nur 24 Stunden gegeben hat, auf das Whitepaper zu reagieren. Üblicherweise werden für eine Meldung im Non-Disclosure-Verfahren 90 Tage vorgesehen. Dies alles gilt es zunächst einmal zurecht zu rücken, bevor wir nun auf die Details eingehen.Ein Unternehmen namens Viceroy Research hat sich...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Der Artikel hier läßt erstmal kaum Spielraum auf eine gezielte Schmutzkampagne und deren Hintergründe, aber vielleicht auch erstmal gut in der gegenwärtigen Situation der Unklarheit.
Jedoch zeigt dies auch auf, wie wichtig es ist, dass nun AMD ein Statement abgeben muss, lange sollte das nicht mehr dauern ....

Nur was soll das Legitim im Titel aussagen?
 
Zuletzt bearbeitet:
wenn ich also physischen zugriff auf hardware habe kann ich sw installieren mit der ich dan blödsinn anstellen kann. die haben das wort "Microsoft" aber sehr langatmig geschrieben
 
Sorry, aber "wenn jemand mit Rootzugriff etwas bestimmtes macht, hat er danach Rootzugriff" ist keine Sicherheitslücke...
Wer so doof ist und nicht zertifizierte Treiber installiert hat selber schuld. Oder anders gesagt, wenn jemand die Sicherheitslücke ausnutzen kann, ist davor schon viel zu viel schief gegangen.

Zudem sollte erwähnt werden, dass es CTSLabs erst seit Ende Februar gibt, die Zusammenarbeit mit Viceroy (wie das gesamte Unternehmen [u.a. auch schon von ProSiebenSat.1 verklagt worden und in Deutschland auch bestraft]) mehr als fragwürdig ist und vieles deutlich auf einen Angriff aus dem Finanzsektor hindeutet.
Die Bilder auf der Unternehmensseite sind aus Stockphotos zusammengehört worden...
 
@Don
Ok, Danke für die Erklärung. :)

Mal angenommen die Lücken sind echt, kann es denn überhaupt sein, dass diese sich nur auf die Architektur der Ryzen CPUs beziehen und Intel oder andere Hersteller davon ausgeschlossen sind?
 
@Don
Ok, Danke für die Erklärung. :)

Mal angenommen die Lücken sind echt, kann es denn überhaupt sein, dass diese sich nur auf die Architektur der Ryzen CPUs beziehen und Intel oder andere Hersteller davon ausgeschlossen sind?

Es sieht so aus, als seien hier nicht nur AMD-Prozessoren betroffen, sondern in der grundsätzlichen Vorgehensweise alle Prozessoren.
 
Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist"

Der Titel sollte eher "billige Panikmache für Gewinn aus Leerverkäufen" heißen.
 
Wie EmPas und Ogel schon gesagt haben: Im Prinzip steht da: Wenn du an deinem PC scheiße baust, wo du Zugriff hast, kannst du scheiße bauen.

Ich verstehe auch auf deren Seite den Screen des POST-Codes nicht..
 
Das kann natürlich auch noch sein: Das diese durchaus berechtigen/möglichen 12 neuen Lücken nur am Beispiel einer Ryzen CPU erläutert werde, was dort am Ende wohl noch rauskommt. :eek:
 
vorweg, HWLUXX: eure direkte antwort im thread der startseite, also nicht im forum ist immernoch kaputt, den beitrag den man geschrieben hat ist dann weg, danke....

zu den 'lücken':
bevor nicht andere als diese offensichtlichen (von wem bezahlten?) basher die lücken bestätigt haben, glaube ich nur an sinnfreies gelöle was man angeblich schlimmes tun würde. wobei, intel muss auch gleich die firma dicht machen, da sind ja nachgewiesene ähnlich schlimme dinge möglich
-tschüss intel...

--ja ich weiss wie albern das ist, ist aber genau das was man da mit AMD versucht und da soll das dann 'ligitim' sein.......-

überhaupt 'ligitim' nur weil ich ahnung von der technik hab, heisst das nicht das ich nicht müll von mir geben kann.....

unterm strich kann ich wenn ich schon mindestens admin, wenn nicht gar physikalischen zugang zu einem system hab, noch ganz andere sachen nehmen, zb einen hammer....

was bios- und treiber- updates per fernzugriff angeht, ist sowas abgestellt, wenn man nicht ganz blöde ist und das bios das erlaubt -das ist aber sache der mainboard- bzw betriebssystem-hersteller und dem anwender und betrifft nicht nur AMD.
 
Dazu kommt noch, eine Sicherheitslücke die root Rechte voraussetzt :confused:
Kann man das überhaupt noch als eine Sicherheitslücke bezeichnen, oder ist das nicht einfach eher eine Fehlfunktion?
 
@ geist4711 Zu "Vorweg": Bei mir nicht.

Und eben das ist es was du sagst: Wenn ich Zugriff zu einem System habe kann ich auch Unfug machen. Das hätte keine neue Domain und Werbeagentur gebraucht.
 
Dann soll Intel auch Insolvenz Anmelden. Das Problem hat mit intel Angefangen und bewusst seit Jahren Cpus verkauft mit Meltdown und Spectre
 
Nach den Intel ME Sicherheitslücken wo ja schon vorausgesagt wurde das AMD PSP wahrscheinlich ähnlich betroffen ist, hat AMD übrigens angefangen mit neuen BIOS Updates /Microcodes es zu ermöglichen PSP einfach abzuschalten.
 
und sind Sicherheitsforscher ehemalige Hacker ?

Da gibt es sicherlich Schnittmengen ;)

Die Lücken als solches mögen legitim sein, die Vorgehensweise aber nicht. Das soll der Titel aussagen.

Ja, die "Sicherheitslücken" mögen legitim sein. Allerdings sind sie so sehr bei den Haaren herbeigezogen, das man bereits bevor diese "Lücken" genutzt werden können ganz andere Probleme hat... :d
 
Zuletzt bearbeitet:
Diese Sicherheitslücken haben mMn. recht wenig mit den CPUs zu tun, denn wenn man die Zugriffsrechte/Bios Flash etc. hat kann ich sowieso schon alles mit dem PC anstellen was ich will.
 
"Dazu muss der Angreifer allerdings das BIOS des verwendeten Mainboards flashen können."

Für viele der beschriebenen Angriffe ist ein Zugriff mit Administrator-Rechten notwendig – teilweise in Kombination mit neu signierten Treibern.

:lol:

Diese Anleitung beschreibt, wie man problemlos aus jedem Gefängnis der Welt ausbrechen kann. Voraussetzung dafür ist, dass man sich außerhalb des Gefängnisses befindet.

:lol: :rofl: :lol: :banana:

Ein reiner Hit Job. Die 24h "Ultimatum" zeigen, dass es nicht die seriöse Aufklärung, sondern finanzielle Absichten betrifft. Wer weiß, was nach 90 Tagen von den Vorwürfen noch übrig ist. Bis dahin will man eben auf dicke Hose machen. Ob eine Erpressung geplant war oder sogar ausgesprochen wurde?
 
@fortunes
Joa, das fettgedruckte beschreibt es echt gut :fresse2:
 
Nach den Intel ME Sicherheitslücken wo ja schon vorausgesagt wurde das AMD PSP wahrscheinlich ähnlich betroffen ist

Nur das man bei den Intel Sicherheitslücken keine Root-Rechte benötigt, was einen nicht ganz unerheblichen Unterschied im Bezug auf die tatsächliche Bedeutsamkeit impliziert.
 
*klopfklopf*
Guten Tag, meine Name is Hans Peter. Ich würde gerne ihre transportablen Wertsachen entwenden, wenn Sie mich freundlicherweise hereinbitten und mir zeigen wo diese liegen. Ich gehe danach auch wieder.
- aber bitte, kommen Sie rein!

Da hat amd sich ja echt blamiert! amdflaws.com, nice! Aber es passt in die heutige bashing und clickbait Zeit. Die Frequenz, mit der zwischen den Herstellern umhergeschwenkt wird scheint mir anzusteigen. Aber so haben alle was zu meckern, was auch wieder nett ist! ;)
 
Wir haben wie gesagt bewusst auf eine schnelle Berichterstattung verzichtet und in der Einleitung sowie in der Einschätzung vermehrt darauf hingewiesen, dass die Lücken wohl legitim sind, sie aber in dieser Form in fragwürdiger Weise präsentiert wurden.
 
Nur das man bei den Intel Sicherheitslücken keine Root-Rechte benötigt, was einen nicht ganz unerheblichen Unterschied im Bezug auf die tatsächliche Bedeutsamkeit impliziert.
Ja, letztlich ist jedes Sicherheitssystem anfällig, weil Menschen daran programmiert haben.

Ich empfinde jedoch das, was hier präsentiert wird, einfach nur lächerlich. Die Voraussetzungen, um die "Fehler" ausnutzen zu können, laufen quasi darauf hinaus, an dem PC zu sitzen und Admin zu sein oder wenigstens laaaaaaange Zeit unbeobachtet an dem PC mit AMD-Technik hantieren zu können.

Was ein ganz großer Käse von den Deppen.

- - - Updated - - -

Wir haben wie gesagt bewusst auf eine schnelle Berichterstattung verzichtet und in der Einleitung sowie in der Einschätzung vermehrt darauf hingewiesen, dass die Lücken wohl legitim sind, sie aber in dieser Form in fragwürdiger Weise präsentiert wurden.
Naja, auch die "Lücken" an sich sind fragwürdig. Wieso spricht man von einer Lücke, wenn man entweder physikalischen Zugriff auf den PC und/oder Admin-Rechte braucht, um diese überhaupt ausnutzen zu können?

Die "Lücken" klingen eher nach Programmierfehlern, die ohne großflächigen Zugriff von außen eher gar nicht auszunutzen sind.

Meltdown war ein solch harter Brocken - aber das hier... :hmm:
 
Dann soll Intel auch Insolvenz Anmelden. Das Problem hat mit intel Angefangen und bewusst seit Jahren Cpus verkauft mit Meltdown und Spectre

In Anbetracht der Partnerschaft mit AMD/Vega hoffe/glaube eher nicht das Intel was mit dieser Kampagne zu tun hat.
 
die lücken scheinen wohl tatsächlich zu existieren, ob sie irgend eine nennenswerte relevanz haben muss sich zeigen.

wenn man eh vollzugriff aufs system braucht, dann halte ich das eher für belanglos.


das man amd nur einen tag zeit zum reagieren gibt ist natürlich etwas strange, andererseits weiß ich aber auch nicht wie man sowas maximal-korrekt handhaben sollte:
gibt man viel zeit, dann bleibt eben auch viel zeit seinen eigenen arsch zu retten (siehe aktienverkauf intel-CEO brian krzanich)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh