Lücke in der Sprungvorhersage: BranchScope als Variante von Spectre

[HWL News Bot]

Noch immer sind die Auswirkungen der Spectre- und Meltdown-Sicherheitslücken nicht ganz abgeklungen, wenngleich Intel die entsprechenden Patches und Microcode-Update größtenteils ausgeliefert und für Ende 2018 bereits Prozessoren mit entsprechenden Änderungen in der Architektur angekündigt hat. Mit den Erkenntnissen dieser beiden Lücken, vor allem aber Spectre in der Variante 2, war klar, dass es durch sogenannte Sprungvorhersagen bzw. Branch Predictions moderner Prozessoren noch zu mehr solcher Lücken kommen...

... weiterlesen

 

[OSL]

Es bleibt auf jeden Fall spannend.

 

[Holzmann]

Verstehe ich das jetzt richtig, das Forscher eigens Angriffs- Scenarios entwickeln, um Schwächen der CPU Architektur zu entdecken, ist das so noch Zielführend und im Sinne der Branche

Auch hier hätte man doch vor Veröffentlichung erstmal Intel informieren müssen ... zumal das scheinbar auch eine Lücke sein kein, die bereits mit bestehenden Patches geschlossen werden kann.

 

[Don]

Hat man und es wurde auch kein Proof of Concept veröffentlicht. In dem Fall hat man sich an die üblichen Richtlinien für ein Responsible Disclosure gehalten.

 

[Gelöschtes Mitglied 263002]

Danke für die Berichterstattung! Auf heise, golem und computerbase habe ich dazu noch nichts gefunden, komisch.

 

[passat3233]

Verstehe ich das jetzt richtig, das Forscher eigens Angriffs- Scenarios entwickeln, um Schwächen der CPU Architektur zu entdecken, ist das so noch Zielführend und im Sinne der Branche

Ja.
Und eigentlich ist das keine Aufgabe von Forschern, sondern eine Aufgabe, die die CPU-Entwickler zu leisten haben.
Wenn ich eine CPU entwickle, muß ich die Architektur auf Angriffsmöglichkeiten testen und ggf. dann die Architektur ändern.
Erst dann darf so eine CPU in die Produktion gehen.

 

[M2209]

Danke für die Berichterstattung! Auf heise, golem und computerbase habe ich dazu noch nichts gefunden, komisch.

Ist nicht komisch sondern klar. Heise und Computerbase sind Freunde von Intel.

 

[Gelöschtes Mitglied 263002]

Genau darauf wollte ich hinaus. Sehr auffällig, dass dort nichts passiert, sonst wird ziemlich flott alles mögliche veröffentlicht.
Wahrscheinlich wegen Ferien und Praktikanten am Werk und so...
Es wird allgemein eher verhalten darüber berichtet.

 

[The Tall Man]

Verstehe ich das jetzt richtig, das Forscher eigens Angriffs- Scenarios entwickeln, um Schwächen der CPU Architektur zu entdecken,...

Danke. Einer der wenigen die wirklich kapiert haben, auf was das Ganze letztendlich hinausläuft.

Es ist allerdings noch viel schlimmer Die CPU Architektur selbst wird hier als Einbruchswerkzeug benutzt. Das hat aber nichts mit CPU Schwächen zu tun. CPU Design und Funktionen werden schlichtweg für Dinge benutzt, für die sie nicht vorgesehen sind.

Mal sehen wann die nächste "Sicherheitslücke" konstruiert wird.

Aber versuch das mal all den Lemmingen und Pseudoexperten zu erklären, die der reißerischen Sensationspresse jeden Scheiß abkaufen. Von Tuten und Blasen, geschweige denn von der Komplexität des Chipdesigns keine Ahnung aber jede Pressemeldung über angebliche "Unsicherheit" vollkommen unreflektiert nachplappern. "Gut" informierte Bürger eben. In Wirklichkeit werden hier mittlerweile von sogenannten "Forschern" Hackwerkzeuge am laufenden Band produziert. Das sind keine Helden und die gehören auch nicht in die Presse, sondern vor den Richter.

 

[Elmario]

Die gezielte Ausnutzung von Sicherheitslücken (wie es ausnahmslos jede Malware tut) ist grundsätzlich immer genau auf diesen einen Zweck hin konstruiert.

 

[Holzmann]

Das Forschungsarbeit geleistet wird auf diesem Gebiet ist Ansicht ja korrekt, diese sollte aber hinter verschlossenen Türen unter Ausschluss der Öffentlichkeit stattfinden.
Als Auftraggeber ist im Normalfall der Hersteller der CPUs oder eine öffentliche Instanz zu erwarten, dass dies hier eher weniger der Fall zu sein scheint, ist das Beunruhigende an der Sache, meiner Meinung nach.