Fehlende Patches: Koordinierte Veröffentlichung zu Spectre-NG verschoben

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.961
intel.jpg
Nach der ersten Welle der Spectre- und Meltdown-Sicherheitslücken Mitte Januar wurden in der vergangenen Woche eine zweite Welle potenzieller Gefährdungen bekannt. Zu Spectre-NG (Spectre Next Generation) gibt es bislang aber recht wenige Informationen, da Intel zusammen mit den Entdeckern eine koordinierte Veröffentlichung geplant hat, die eigentlich heute erfolgen sollte. Auch erste...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Besser so als überhastet Updates zu bringen die Fehler beinhalten...

Vorallem ist es nicht so als ob irgendein Schädling grade wüten würde.

Gibt es eigentlich inzwischen nach so vielen Monaten zumindest zu Spectre oder Meltdown irgend nen Beweis dass die "Lücken" je schadhaft ausgenutzt wurden?
 
Das Problem ist eher, das viele Lücken potentiell ungepatcht bleiben. Viele Meiner Kunden haben noch Core2Duo/Core2Quad- und Core-ix der ersten Generation im Einsatz. Für Office gab es bisher auch keinen Grund aufzurüsten, zumal Windows 10 recht fluffig drauf läuft. Das Verständnis für eventuelle Lücken und Malware-Probleme ist dem Normalo schwer zu vermitteln, weil ja schließlich Antivir-Programme gekauft werden und das OS aktuell ist...und ne Investition von über 500 Euro für nichts greifbares auszugeben, ist auch nicht jedem möglich.
 
In der Praxis entsteht auch nunmal auch sehr selten ein Schaden beim Nutzer.
Sicher es gab Verschlüsselungs/Erpresser-Viren eine Weile lang und gelegentlich werden email konnten gekapert, aber das sind doch eher Einzelfälle in Anbetracht der Rechner.
In Online-Banking einzugreifen ist kaum möglich. Da haben sowohl banken als auch Shops aufgerüstet (2-Faktor Authentifizierung insbesodnere bei gewächselter Lieferadresse).

Die problematischte Konsequenz ist eigentlich noch wenn man Teil eines Botnetzes wird.
 
Nicht einmal die Monate alten Lücken wurden bei allen geschlossen (BIOS), und jetzt sollen weitere Lücken geschlossen werden, die wieder zich Monate benötigen bis ein Teil der Hauptplatinen-Hersteller einen Teil davon abgedeckt hat, pff, wenn das so weiter geht wirds lustig für uns...
 
@Hot

Danke, echt guter Kommentar, der dort zum GPP ist auch nicht übel. :d
 
Es wird Zeit, Windows über Bord zu werfen.
 
Hat jemand was anderes von diesem ********* erwartet?

Das AMD davon auch betroffen sein könnte ist dir noch nicht in den Sinn gekommen?
Es geht nicht um AMD vs. Intel sondern um die CPU-Kunden allgemein. Beide Marken kämpfen aktuell mit den Lücken, die eine mal mehr die andere weniger. Microsoft sitzt dann noch mitten drin und versucht irgendwie mit Updates über das BS zu schliessen.
 
Bezüglich AMD bin ich gespannt.

Meltdown war ein "Intel-only"-Feature. Spectre v1 traf alle und ließ sich schnell über Windows & Linux patchen. Spectre v2 erforderte neue Firmwares, wobei AMD in Ryzen nur 1 von 3 Patches bringen musste, weil für die zwei anderen Spectre-v2-"Wege" keine Angriffsmöglichkeiten auf Ryzen bekannt sind.

AMD ist also an zwei Stellen gegenüber Spectre immun gewesen. Intel ist ein offenes Scheunentor.

Insofern liegt die Vermutung nahe, dass Intel massiv betroffen ist. Bei AMD hängt es davon ab, welcher Angriffsvektor genutzt wurde, um die neuen Schwachstellen aufzudecken.
 
Es ist die Zeit für die neuen AMD CPUs (Pinnacle)!

Diese konnten vermutlich bereits abgesichert werden, das Statement lautete ja so:

"Darin seien Anpassungen auf Hardware-Ebene enthalten, um sich gegen Spectre abzusichern - Su spricht nicht von spezifischen Varianten, sondern von einer Absicherung gegen "Spectre-ähnliche" Angriffe. Google informierte die Chiphersteller bereits im vergangenen Sommer über die Sicherheitslücken, womit AMD mehrere Monate blieben, um Zen 2 entsprechend anzupassen"

Aber bin auch gespannt, wie sich AMD zu Spectre-NG offiziell äußern wird, so lange kann das ja nicht mehr dauern ...
 
Die 2000er Ryzen sind auch nur via BIOS-Update abgesichert. Die Architektur ist gegen Spectre nicht immun. Ryzen2 hat den Vorteil, dass die 400er-Platinen die neuen Patches bereits haben - auch die neuen AGESA-Updates von AMD, die den Ryzen2000 unterstützen, sind gegen Spectre immun.

Vom Prinzip her ist Ryzen also sicher, aber nur aufgrund der Firmwares, die für die Ryzen 2000 sowieso notwendig sind.
 
Jaja, Intel ... die Zeichen stehen auf Talfahrt ...

Aufstehen und Krone richten ... ...

Es wird Zeit, Windows über Bord zu werfen.

Hä?
Was hat nun eine Hardware-Lücke mit dem Betriebssystem zu tun ?

Edit:

Google informierte die Chiphersteller bereits im vergangenen Sommer über die Sicherheitslücken, womit AMD mehrere Monate blieben, um Zen 2 entsprechend anzupassen"

Ist das so ? Ich dachte wir reden hier von einer Designschwäche.
Ich kann mir kaum vorstellen das diese bei einem "Refresh" ausbügeln kannst. Dazu müsstest du ja das ganze Design des Chips ändern.
Ich glaube wir sprechen hier wenn, über Microcode-Updates.

Edit2:
Damn ... fortunes war schneller ... oder ich hab wieder nich ordentlich gelesen ... :/
 
Zuletzt bearbeitet:
Zen "plus", also Ryzen 2(000) hat keinen Hardware-Schutz gegen Spectre.

Der Schutz kommt über die BIOS-Updates, die auf den 400er-Platinen von Haus aus dabei sind und bei den 300er-Platinen sowieso nachgeschoben werden müssen, damit die 2000er-Ryzen unterstützt werden. Durch das Update werden auch die 1000er-Ryzen immun.

Was "Zen 2" aka Ryzen 3000 angeht, ist noch kein Wort gefallen. Ob AMD die Architektur anpassen kann oder nicht, steht in den Sternen. Genau so ob der kommende 8-Kern CoffeeLake einen Hardware-Schutz gegen Meltdown, Spectre & Co. bieten wird.
 
Bei mir läuft ein Server mit FreeBSD als Storage mit Plex und ssh. Kein Samba, NFS oder ähnliches. Board ist ein Asus P9D WS, welches bestimmt kein BIOS Update mehr bekommt.
Auf meinem Arbeitsrechner (Asus M8R, 6700k) läuft ein Win10 als VM Host und zum Zocken. In einer VM läuft ArchLinux für alles andere (Office, Internet, E-Banking etc..) Systeme halte ich alle möglichst aktuell (OS, BIOS, unter Linux intel-ucode.img). Keiner der Rechner ist aus dem Internet erreichbar, aber alle haben Internet und sind im selben LAN.

Muss ich mir irgendwie Sorgen machen?
 
Wir "Otto-Normal" müssen uns im Allgemeinen keine Sorgen machen.

Die Sorgen "Trojaner, Viren und Würmer", die es auf uns abgesehen haben, sind eher auf Bitcoin-Mining, Datenverschlüsselung & -erpressung sowie Botnetz-Aktivitäten ausgelegt.

Die Angriffsvektoren für Meltdown, Spectre & Co. dienen rein der Informationsgewinnung. Diese ermöglichen es, über die eigenen Berechtigungen hinaus Speicherbereiche auszulesen und die Dateninformationen abzufangen. Das ist allerdings ein sehr mühseliges Unterfangen, da man die Daten hinterher auch noch analysieren muss.

Letztlich geht es hier um die großen VM- und Cloud-Betreiber, die neben den normalen VMs für "Otto-Normal" auch noch kritische Informationen im Datenspeicher halten. So könntest du von einer von dir angemieteten VM auf die Daten einer anderen VM auf der gleichen Maschine zugreifen, in denen ein Shop-Betreiber seine Kundendaten unverschlüsselt gespeichert im Speicher bereithält.

Das Angriffsszenario ist sehr eingeschränkt und für uns "Otto-Normal" überhaupt nicht zielführend.

Es sei denn, du bewahrst deine Atomwaffensperrcodes permanent im Zwischenspeicher auf, um diese auf Bedarf abrufen zu können, und teilst das auch noch dem rest der Welt mit. Dann könnte man dich gezielt angreifen.

Aber ist dem so? ;)
 
Zuletzt bearbeitet:
Das AMD davon auch betroffen sein könnte ist dir noch nicht in den Sinn gekommen?
Es geht nicht um AMD vs. Intel sondern um die CPU-Kunden allgemein. Beide Marken kämpfen aktuell mit den Lücken, die eine mal mehr die andere weniger. Microsoft sitzt dann noch mitten drin und versucht irgendwie mit Updates über das BS zu schliessen.

Immer dieses Gelaber. AMD ist nicht betroffen. Spectre v2 auf AMD ist reine Theorie, praktisch aber architekturbedingt eher unmöglich durchzuführen. Ansonsten gibts bis auf die Ryzenfall-Lücken, die eh nur mit Root-Zugriff machbar sind, also irrelevant, nichts, was AMD-CPUs unsicher machen würde. Das ist ein Faktum z.Z. Wenn was Neues auftaucht sehen wir weiter, aber derzeit ist AMD nicht betroffen. Spectre NG betrifft ausschließlich Intel-CPUs.
Es wird immer in einen Topf geworfen, das ist aber Blödsinn. AMD unterscheidet sich auf Harware-Ebene fundamental von den Intel-CPUs. Sie verwenden eigenen µCode und alles. Die Lücken sind somit einfach nicht übertragbar. Einzig Spectre betrifft die speklative Ausführung von Befehlen, die alle moderne CPUs machen, aber sie machen sie alle anders.


fortunes
Relativieren kann man natürlich immer. Aber ich finds schon inakzeptabel, dass die CPU ein Einfallstor für Trojaner und Malware bietet und das einfach nicht vernünftig gefixt wird. Für Spieler ist das furzegal, so ein Privatrechner kann man ja auch einfach neu aufsetzen. Aber bei sicherheitskritischen Rechnern würd ich derzeit einen großen Bogen um Intel-CPUs machen. Das erschüttert Intel in seinen Kernmärkten, weil jetzt etliche Intel-affine Administratoren sich ernsthaft Gedanken darum machen müssen, eben nicht mehr nur Intel einzusetzen - egal ob aus purer Gewohnheit (also denen, denen niemals in den Sinn kommen würde AlternativCPUs zu nutzen, das dürfte die große Mehrheit sein) oder aus Überzeugung, sondern aus Notwendigkeit weil es keine Alternative gibt.
 
Zuletzt bearbeitet:
Spectre v2 ist auf AMD problemlos möglich. Den Nachweis hat Google Project Zero erbracht.

Die Frage ist nur nach dem Sinn, denn Spectre-Scanner liefern Datenraten von ca. 10kb/s. Bei einem 256GB-RAM im Server und entsprechendem Datencache erachte ich das Vorhaben eher für gewagt. Da ist Intels Meltdown mit 500kb/s deutlich einträglicher.

Aber möglich ist es.

Was die neuen Spectre-Lücken an Bandbreite liefern, weiß man bislang nicht. Auch deine Aussage, AMD sei von SpectreNG nicht betroffen, halte ich für gewagt. Da sollte man besser auf eine finale Aussage seitens AMD warten. AMDs Ingenieure haben sich ja auch schön Finger verbrannt, da sie anfangs "davon ausgingen, dass AMD nicht von Spectre betroffen sei" - Googles Project Zero aber das Gegenteil bewiesen hat.

Daher: Zurückhaltung - auch von dir. ;)
 
Immer dieses Gelaber. AMD ist nicht betroffen. Spectre v2 auf AMD ist reine Theorie, praktisch aber architekturbedingt eher unmöglich durchzuführen. Ansonsten gibts bis auf die Ryzenfall-Lücken, die eh nur mit Root-Zugriff machbar sind, also irrelevant, nichts, was AMD-CPUs unsicher machen würde. Das ist ein Faktum z.Z. Wenn was Neues auftaucht sehen wir weiter, aber derzeit ist AMD nicht betroffen. Spectre NG betrifft ausschließlich Intel-CPUs.
Es wird immer in einen Topf geworfen, das ist aber Blödsinn. AMD unterscheidet sich auf Harware-Ebene fundamental von den Intel-CPUs. Sie verwenden eigenen µCode und alles. Die Lücken sind somit einfach nicht übertragbar. Einzig Spectre betrifft die speklative Ausführung von Befehlen, die alle moderne CPUs machen, aber sie machen sie alle anders.
Ja...was ist DEIN Problem? Ich habe geschrieben "KÖNNTE" Im Sinn, es kann noch was anderes nachkommen und deswegen kann man nicht nur INTEL als ******* bezeichnen.

Das die sich Grundsätzlich unterscheiden ist wohl jedem klar oder? Deswegen habe ich auch nicht behauptet AMD betrifft auch das Spectre NG Problem, sondern AMD könnte Lücken (allgemeine) haben. Informiert wird man von AMD zur Zeit auf jedenfall besser und allgemeine Patches kommen ja Zeitnah.
 
Sry hab da etwas überreagiert, weil ich diesen BS eben überall begegnet. Überall liest man eben Neues über die SpectreNG und Forennutzer haben nichts besseres zu tun, also andauernd zu schreiben "ja AMD betrifft das ja auch". Nein tut es eben nicht, da es sich hier um eine andere Architektur handelt, und das nervt einfach ungemein.

fortunes
Nein, das ist schlicht falsch. AMD selbst hat eingeräumt, dass es einen theoretischen Angriffsvektor gibt, nachdem sie von Google darauf hingewiesen wurden. Der ist praktisch aber nur extrem schwer auszunutzen, also praktisch eigentlich irrelevant. Mit AGESA 1003 dürfte das aber dann eh gegessen sein, da auch diese theoretische Angriffsmöglichkeit zusammen mit den Ryzenfall-Fixes verunmöglicht werden soll - ganz loswerden kann man v2 nur mit einer neuen µArchitektur.
 
Zuletzt bearbeitet:

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh