HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 114.166
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Aber wehe Paddy92 liest das hier, der denkt dann gleich wieder an "Ryzenfall", bei dem auf einen AMD-Aktienkursfall spekuliert und die Sicherheitshinweise deutlich vor den 90 Tagen veröffentlicht wurden.
Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.Ich habe das Vorgehen von CTS-Lab ebenfalls kritisiert. Also was genau ist dein Problem?
Es geht hier um Intel, da reagieren viele anders als bei AMD:\Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP.
Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert.
Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.
Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert. Über zwei Monate. Google als Entdecker der Schwachstelle hat sogar ein zweites Mal um 90 Tage die Frist verlängert.
Aber Ryzenfall ist genau so schlimm wie Meltdown, Spectre & Co.
Wo habe ich gesagt, dass sie sinnfrei sind? Es sind normale Sicherheitslücken wie die bei Intels ME auch. Da kommen regelmäßig CVEs rein und die Patches folgen auf dem Fuße. Alles normal, wo sich niemand aufregt. Aber Bei "Ryzenfall & Co.", das nichts anderes ist, wird dann gehyped.Gegenfrage, wo ist deine Erklärung, dass diese Lücken sinnfrei sind, da der Angreifer physischen Zugriff benötigt?
Weil die zahlreichen Angriffsvektoren erst später kamen. AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden. Das gleiche Spiel bei Meltdown. Intel war ja glasklar von Anfang an betroffen. Aber Meltdown, Spectre, Spoiler (und was da noch so alles kommt) sind ja erst der Anfang. Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.Oder warum hat AMD länger als Intel gebraucht Updates gegen Spectre zu liefern, obwohl diese ja auch frühzeitig informiert wurden?
Seit Bekanntwerden von Meltdown, Spectre & Co. sitzen permanent Tüftler an den CPUs aller Hersteller. Deswegen kommt ja nachträglich so viel Mist rein.@fortunes
Könnte am viel geringeren Anteil der AMD CPU‘s liegen!
Wo habe ich gesagt, dass sie sinnfrei sind?
"Dazu muss der Angreifer allerdings das BIOS des verwendeten Mainboards flashen können."
Für viele der beschriebenen Angriffe ist ein Zugriff mit Administrator-Rechten notwendig – teilweise in Kombination mit neu signierten Treibern.
Diese Anleitung beschreibt, wie man problemlos aus jedem Gefängnis der Welt ausbrechen kann. Voraussetzung dafür ist, dass man sich außerhalb des Gefängnisses befindet.
Ja, letztlich ist jedes Sicherheitssystem anfällig, weil Menschen daran programmiert haben.
Ich empfinde jedoch das, was hier präsentiert wird, einfach nur lächerlich. Die Voraussetzungen, um die "Fehler" ausnutzen zu können, laufen quasi darauf hinaus, an dem PC zu sitzen und Admin zu sein oder wenigstens laaaaaaange Zeit unbeobachtet an dem PC mit AMD-Technik hantieren zu können.
Was ein ganz großer Käse von den Deppen.
- - - Updated - - -
Naja, auch die "Lücken" an sich sind fragwürdig. Wieso spricht man von einer Lücke, wenn man entweder physikalischen Zugriff auf den PC und/oder Admin-Rechte braucht, um diese überhaupt ausnutzen zu können?
Die "Lücken" klingen eher nach Programmierfehlern, die ohne großflächigen Zugriff von außen eher gar nicht auszunutzen sind.
Für die restlichen "Probleme" benötigst du Admin-Rechte auf dem angegriffenen PC. Und genau das hinterfragt die Sinnhaftigkeit der "Probleme". Wenn ich eh schon Admin auf der Maschine bin - was soll das dann?
AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden.
Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.und ganz frisch:
Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:Ach, hast du denn auch einen Beleg für diese Aussage?
AMD sprach von einem near-zero risk und nirgends davon, dass sie nicht betroffen seien..
Zudem ist dem offiziellen Whitepaper zu Spectre zu entnehmen, dass AMD von beiden Varianten von Anfang an betroffen war. Dieses ganze nur theoretisch betroffen oder was weiß ich, wurde von anderen Leuten in Umlauf gebracht.
Weil AMD nicht von der vollen Bandbreite an Meltdown und Spoiler betroffen war, sind sie "deutlich resistenter" ? Wohl kaum...Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.
Gibt für die meisten Systeme ja eh mal wieder keine Updates, wie immer. So lange da seitens der Politik nicht endlich mal was passiert, wird sich das auch nicht ändern.
Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.
Deine Unterstellung der "Sinnfreiheit" habe ich nie zum Ausdruck gebracht. Ich habe die Sinnhaftigkeit hinterfragt. Äpfel und Birnen.
Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:
Meltdown- und Spectre-Mitentdecker Daniel Gruss - "Es sind alle Prozessorenhersteller betroffen" (Archiv)
AMD Prozessorsicherheit | AMDWie auch beim Fall Meltdown glauben wir, dass unsere Prozessoren diesen neuen spekulativen Ausführungs-Angriffsvarianten gegenüber nicht anfällig sind: L1 Terminal Fault – SGX (auch als Foreshadow bekannt) CVE 2018-3615, L1 Terminal Fault – OS/SMM (auch als Foreshadow-NG bekannt) CVE 2018-3620 und L1 Terminal Fault – VMM (auch als Foreshadow-NG bekannt) CVE 2018-3646. Dies ist in den Schutzmechanismen für Hardware-Paging in unserer Architektur begründet. Wir empfehlen Kunden, die AMD EPYC™ Prozessoren in ihren Rechenzentren betreiben (inkl. in virtualisierten Umgebungen), keine Foreshadow-bezogenen Software-Abwehrmaßnahmen für ihre AMD-Plattformen zu implementieren.
Du solltest nicht von dir auf andere schließen. Ich hinterfrage etwas und stelle es damit für dich direkt als so gegeben dar. Äpfel und Birnen zum zweiten Mal.Blabla. Zugeben ist eh nicht deine Stärke. Blabla.
Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.Warum gilt dein Vorwurf dann nur Intel, obwohl AMD genauso geschlampt hat und von Anfang an betroffen war?
Zu behaupten, man sei nicht betroffen, obwohl man nachweislich betroffen ist, ist jetzt nicht sonderlich positiv..
Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.
Deswegen gab es ja anfangs auch gar keine Angriffsmöglichkeiten, dann plötzlich doch Spectre2 unter bestimmten Voraussetzungen, dann plötzlich Meltdown x.x usw.
Oh man. Hast du alles von damals vergessen.Was laberst du?
Welcher PoC kam erst später?
Welche bestimmten Voraussetzungen?
Oh man. Hast du alles von damals vergessen.
Da AMD zunächst daran festhielt, gab es auf Github eine Reihe von PoCs, die das Gegenteil nahelegten. Allerdings mussten dafür die Angriffsvektoren modifiziert werden, weil man nicht die gleichen Angriffsmuster wie bei Intel fahren konnte:
Project Zero: Reading privileged memory with a side-channel
Das Problem bei den ganzen PoCs: keiner hat einen Proof für Ryzen geliefert. Der kam tags darauf:
Spectre example code · GitHub
Die Intel-Fanatiker können mit Fakten mal wiweder nicht umgehen, sind hier aber eh immer die paar gleichen User...
Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren.Kommt jetzt wieder dieses Gelaber über eBPF, was du schon damals nicht geschnallt hast?
Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach.Dir ist aber schon bewusst, dass dies der PoC aus dem Whitepaper zu Spectre ist und laut dem Whitepaper auch auf Ryzen funktioniert hat?!
Das Whitepaper habe ich dir hier schon verlinkt..
Bei welchen Fakten? Beim Thema cTDP hast du hinterm Mond gelebt und redest dich dann damit raus, dass du mich nur aufziehen wolltest. Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.Du sei doch mal ganz ruhig. Von dir kommt meistens nur polemisches Gelaber und seltenst was konstruktives.
Zeig mir bei welchen Fakten ich falsch liege und erkläre es mir.
Oder kannst du das nicht?
Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren.
Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach.
Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.
Was genau soll da den Rechner langsamer machen?Da spar ich mir diese nächste Bremse auch