• Hallo Gast, aktuell stehen geplante Wartungsarbeiten am Server von Hardwareluxx an. Es könnten ab ca. 0.15 Uhr kurzzeitige Downtimes entstehen.

Predictive Store Forwarding ist mögliche Sicherheitslücke für alle Zen-3-Prozessoren

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.569
ryzen_5000_logo.jpg
In einem Whitepaper haben AMDs Sicherheitsforscher eine Analyse zu einem möglichen Sicherheitsrisiko beim Predictive-Store-Forwarding-Feature (kurz: PSF) der Öffentlichkeit offenbart. Die Sicherheitslücke soll ausschließlich die aktuellen Zen-3-Prozessoren betreffen und von der Schwere her ähnlich sein, wie die Spectre-V4-Lücke. Die positive Nachricht ist natürlich, dass sich PSF deaktivieren lässt.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
 
Zuletzt bearbeitet:
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...

Holzmann schrieb:
Warum es allerdings ein Feature braucht, dass eh "nur " 0,5% Mehrleistung bringt?
Zum Vergrößern anklicken....
Gute Frage.... :unsure:
 
Holzmann schrieb:
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Zum Vergrößern anklicken....
Wird wohl je nach situation anders sein. Und wenn jemand gleich mal ne serverfarm von AMD bezieht. Können 0,5% schnell mal eine eingesparte SW lizenz sein.
 
Luxxiator schrieb:
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...


Gute Frage.... :unsure:
Zum Vergrößern anklicken....
Achso, von wem wurden denn die ganzen Forschungen finanziert, die die ganzen Sidechannel-Lücken offen legten ?
 
Viel wichtiger ist einfach die Tatsache das ich über Linux die Funktion deaktivieren, aber über Windows 10 nicht.

Heißt das im Umkehrschluss ?Kann ich über Linux per Remote über die CLI Schadcode einschleusen und bei Windows 10 nur mit physischem Zugang?
So genau wird das nicht beschrieben, sei es drum. Wer Server hat, hat in der Regel eh Linux (VMware)und deaktiviert das feature. Man muss alles einfach viel nüchterner betrachten.

So viele Sicherheitslücken die Windows selbst hat und Leute meckern über komplexe Sicherheitslücken die man nicht einfach mal eben ausführen kann wie bei den Prozessoren.
Die Intel Sicherheitslücken sind für privat Anwender auch nicht relevant, sondern eher im B2B / Server Farmen und selbst da brauch man Administrative Berechtigung und dann kommt noch die Frage ob man das nur nativ ausnutzen kann oder auch aus einer Virtualisierten Maschine etc.

Sicherheitslücken wo man physischen Zugang brauch um diese Auszunutzen, finde den Fehler ....xD
 
Zuletzt bearbeitet:
Holzmann schrieb:
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Zum Vergrößern anklicken....
Da 0,5%, hier 0,2% und dort 0,8%. Nach und nach kommen dann doch gewisse Leistungsverbesserungen zum Vorschein. Daß diese potentzielle Angriffsflächen bieten ist halt die Kehrseite. Aber für Otto-Normalverbraucher eigentlich kein Thema. Unternehmen sind hier eher angepisst wenn es eine Attacke gibt.
 
iron_monkey schrieb:
Nicht die erste und letzte Lücke in ner CPU, wie bereits angemerkt ist aber AMDs Verhalten etwas offener... ob es mir als Kunden jetzt etwas bringt wage ich aber zu bezweifeln, da ich die Lücke nicht schließen kann.
Zum Vergrößern anklicken....
Ist diesem Fall mag das Verhalten von AMD wohl ein wenig offener sein, aber auch AMD ist da nicht immer ganz offen. Z.B. Ist AMD nicht offen damit, dass man auch von Foreshadow betroffen...
 
Bei Team Green wird es Kommentarlos einfach in die Patchnotes beigefügt xD
1617786282317.png
 
Paddy92 schrieb:
@n3cron

Nö: https://www.nvidia.com/en-us/security/
Zum Vergrößern anklicken....
Wieso wird da kein Link reingeschoben? Wird auch nicht sehr öffentlich gemacht das ganze. Während ich von Intel und AMD immer mal wieder in den News was lese ist über Nvida immer nichts zu hören.
Ist aber auch egal, Es wird ja immer nur auf AMD und Intel rumgeritten, das Nvidia auch Server Virtualisierungslösungen(vGPU) anbieten ist wohl nicht relevant.
 
n3cron schrieb:
Wieso wird da kein Link reingeschoben?
Zum Vergrößern anklicken....
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
 
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
 
Paddy92 schrieb:
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
Zum Vergrößern anklicken....
Na Hier wird auch allgemein der Umgang mit Sicherheitslücken angekreidet, ich sehe nicht wenn ich mein Experience öffne das ich keinen Hinweis bekomme sondern nur vermüllte unnötige Werbung, anstelle das man unter den news einen Hinweis mit Link zur aktuellen Sicherheitsproblemen reinstellt wird das einfach mehr oder wenig verschwiegen und dann eher Kommentarlos als Einzeiler in den Patchnotes hinterlegt mit "Sicherheitslücken wurden gefixed" finde ich halt nicht so cool.

Stability und Security sind immer erstmal wichtiger, dann kommt erstmal Performance, sowas wie Features die <1% nutzen die optional sind meiner Meinung nach ganz weit hinten.
Welches Game demnächst ANSEL kompatibel ist ??? => Wayne?

In dem Moment wo ich nach Sicherheitslücken und deren Status extra suchen muss und stattdessen Werbung über triviales bekomme, ist halt die Methode schon Fragwürdig.
Grün hätte ja die Möglichkeit durch den Optionalen Zwang von Experience die Leute zumindest mit einem Hinweis zu informieren: "Es wurde eine Sicherheitslücke entdeckt, weitere Infos unter https://www.nvidia.com/de-de/security/
Wäre auch bei AMD Grafikkarten Besitzer möglich, zumal der Treiber auch feststellen kann welchen Prozessor man hat.

Mal davon abgesehen das ich aktiv nach sowas suchen musste um die Seite zu finden. Die ist absolut versteckt und in den Nvidia News wird nicht mal darauf hingewiesen das es Security Fixes gibt oder ähnliches.
Mehr minder sehr schwach gehalten, um nicht zu behaupten fast schon von Vertuschung zu sprechen, sind die anderen nicht besser.

Ich finde es schon relevant wenn ich über vGPU an eine VM weiterreiche und sich ein Schadprogramm über den Treiber Adminrechte holen könnte, schon jetzt nicht ganz trivial auch wenn der Angriff sehr Komplex ist und möglicherweise für den Privatanwender eher trivial ist. Aber jeder der sowas wie BlueStacks verwendet wird automatisch GPU Virtualisierung nutzen auch im privaten Umfeld.


Leider ehrlich gesagt in dem Punkt sind alle großen durchgefallen. Tatsächlich ist in dem Beispiel Intel positiv aufgefallen, unter Lösungen/Sicherheit kommt man zumindest in den richtigen Bereich um weiter such zu können. Bei den anderen Pustekuchen.
Bei AMD ist unter dem Support Bereich zu finden, die machen zwar auch keine große Presse drum aber gänzlich versteckt ist es auch nicht.:rolleyes2:

Bei Nvidia wird in der Fußnote:confused: der Webseite ein Link zu Security angeboten, wieso nicht unter dem Bereich Support z. B?

Vielleicht kann ja Hardwareluxx da einen Journalistischen Test machen wie einfach oder schwer es ist an Infos zu Sicherheitslücken/News zu kommen.
 
florian schrieb:
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
Zum Vergrößern anklicken....
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
 
thom_cat schrieb:
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
Zum Vergrößern anklicken....
Ich finde auch das man sachlich bleiben sollte. Man darf seine eigene Meinung zu einem Thema äußeren sollte aber niemanden beleidigend oder persönlich angreifen.
 
Zumindest unter Linux lässt sich AMDs PSF-Funktion mit CLI-Befehlen (Command Line Interface) deaktivieren - wer auf Nummer sicher gehen möchte. Unter Windows 10 ist es scheinbar nicht möglich, diese Funktion auszuschalten.
Zum Vergrößern anklicken....
Da werden einige Nutzer auf Patches waten müssen während es unter Linux einfach mit ein Paar Befehlen sich Deaktivieren lässt.
 
Anmelden, um zu antworten.

Ähnliche Themen

Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh