Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

AMD und ARM sind deutlich weniger betroffen und natürlich lässt sich das auf Hardwareebene fixen, dauert halt bis so was released wird...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich wollte ein AM1 System(kein sempron),klein leise,verbrauch ist zweitranging aber die gibt es nicht mehr zu bestellen diese CPUs.
Warten auf Ryzen2 oder ryzen+ oder auf die neuen APUs wollte ich nicht,er auch nicht. So ein Mist.
Nun hab ich noch einen 4kern AMR für mich bestellt letzte Woche(Banana pi Alternative,mit 8GB ram, Hersteller weiss ich jetzt nicht,nicht rashberry). Muss mal schauen ob die CPU aufgelistet ist iauf der Blacklist. :sick:
 
Ihr übertreibt ein wenig.. Ja Meltdown und Spectre sind Lücken die gestopft werden müssen, keine Frage. Es gibt aber deutlich einfachere Möglichkeiten für Angriffe und auch andere Side-Channel-Attacks, die keine "speculative Execution" benötigen.

Hier einmal die Einschätzung eines Sicherheitsexperten (der deutlich mehr Ahnung von der Sache hat als wir): " Thus, it is theoretically possible that we’ll see such attacks in the future. My personal opinion is that this is more likely to be an academic exercise than a real world vector. "

Quelle: Meltdown Hardware Benchmarks
 
Myths About Meltdown Spectre: Expert Interviews - YouTube
mMn. sehr interessantes Video.

Außerdem
Zen 2 mit Hardwareschutz gegen Spectre
Im Conference Call gab CEO Lisa Su zu verstehen, dass Ryzen 2000 bereits mit einem Microcode-Update für Spectre an den Start gehen wird, der zusammen mit dem Betriebssystem Schutz bieten soll. Zen 2 für das Jahr 2019 wird derzeit an der Hardwareseite angepasst und soll von Haus aus direkt gegen Spectre geschützt sein.
AMD-Quartalszahlen: Umsatzsprung von 60 Prozent dank Ryzen, Radeon Mining - ComputerBase
 
Wir haben bisher ja noch kein Microcode-Update bei AMD gesehen, verstehe ich das richtig, dass für Ryzen 2000 die angepassten Microcodes den Boardherstellern im Vorfeld zur Verfügung gestellt werden?

Hoffentlich sind die Performance Einbußen so gering, dass der Entwicklungsfortschritt vom Ryzen Refresh nicht direkt flöten gehen. ;)
 
Wir haben bisher ja noch kein Microcode-Update bei AMD gesehen, verstehe ich das richtig, dass für Ryzen 2000 die angepassten Microcodes den Boardherstellern im Vorfeld zur Verfügung gestellt werden?

Hoffentlich sind die Performance Einbußen so gering, dass der Entwicklungsfortschritt vom Ryzen Refresh nicht direkt flöten gehen. ;)
Sollte man annehmen, da es nur Zen+ ist. (shrink)
Zen2 ist wiederum in Hardware angepasst, so das kein zusätzlicher Microcode für Spectre benötigt wird.
 
Das update KB4058258 habe ich soeben bekommen, gibt's dazu schon Erfahrungen?

Wenn ich mir den so Link ansehe, hat das doch nichts mit der Sicherheit zu tun, oder doch?
 
Zuletzt bearbeitet:
Hundreds Of Meltdown, Spectre Malware Samples Found In The Wild
Security company Fortinet announced that it has found dozens of malware samples that have started taking advantage of the proof-of-concept (PoC) code for the Meltdown and Spectre CPU flaws released earlier last month. The news comes at a time when chip makers and OS vendors are struggling to patch their customers’ systems due to the unforeseen issues the patches can cause.
 
@Holzmann: KB4058258 scheint mir auch nichts mit Spectre/Meltdown zu tun zu haben.

@unl34shed:
Immer mit der Ruhe:
»All evidence suggests most of these detections are security researchers playing with the PoC code, but experts won't rule out that some samples are from malware authors looking for ways to weaponize the PoC code for malicious actions.

"I actually haven’t seen real in-the-wild samples yet," Omri Moyal, co-founder and VP of research at Minerva Labs told Bleeping Computer. "Just a lot of PoC/research/tests."«
We May Soon See Malware Leveraging the Meltdown and Spectre Vulnerabilities

Ich denke allerdings auch, dass nach der Verwirrung, die infolge der Patches vom 8. Januar entstand und am 22. zum Rückzug des microcodes durch Intel führte, da er fehlerhaft war und z.B. zu unvermittelten Neustarts auf einigen Rechnern führte, es nun länger dauern wird, bis neuer fehlerbehobener microcode durch Intel veröffentlicht wird.
 
Zuletzt bearbeitet:
Nebenbei intelligent den Code der Lücke zu veröffentlichen, dass macht es Hackern einfacher, diese dann zu nutzen. :fresse:
 
Im Grunde hat sich an der Gesamtsituation überhaupt nichts geändert, außer, daß zwei neue Angriffsszenarien hinzugekommen sind. Darum kann ich es auch immer noch nicht begreifen, wie man sich einerseits vollkommen naiv und sorglos gigabyteweise ungeprüfte Software und Apps auf dem Rechner bzw. auf das Smartphone packen kann, andererseits hier weiterhin wie ein paar aufgescheuchte Hühner Panik schiebt und hastig mit der heißen Nadel zusammengefrickelte Patches aufspielt.

Was man auch immer auf seiner heimischen IT installiert. Es ist und bleibt immer eine risikobehaftete Vertrauenssache. Denn eine Software wieder zu dekompilieren und den Sourcecode Zeile für Zeile durchzugehen dürfte die Möglichkeiten von so ziemlich jeden Einzelanwender übersteigen.
 
Es besteht auch ein Risiko bei grün die Ampel zu über queren, alles eine Vertrauenssache Fremden gegenüber, wer weiß was die gegen mich im Schilde führen...
 
Im Grunde hat sich an der Gesamtsituation überhaupt nichts geändert, außer, daß zwei neue Angriffsszenarien hinzugekommen sind. Darum kann ich es auch immer noch nicht begreifen...

Ich weiß nicht, ob sich das auf den Link in meinem Post bezog (folgte er doch unmittelbar). Jedenfalls:
Die für mich relevante Imformation war, dass wohl mit neuen MC von Intel am 15.02 zu rechnen ist.
Ansonsten habe ich für mich beschlossen, mich hier nicht mehr an der Diskussion zu beteiligen, ob man Sicherheitspatche einspielen sollte oder nicht.
 
Es besteht auch ein Risiko bei grün die Ampel zu über queren, alles eine Vertrauenssache Fremden gegenüber, wer weiß was die gegen mich im Schilde führen...
Bitte zuerst denken. Denn sonst kommen so doofe Argumente zustande wie von dir.
Damit die Möglichkeiten besteht es verständlich für dich zu machen, nehme ich mal die grüne Ampel. Bei einer grünen Ampel habe ich trotzdem die Möglichkeit unaufmerksame Teilnehmer sehen zu können. Doch bei der Sicherheitslücke ist es so, dass das Objekt unsichtbar ist und man eben nicht die Möglichkeit hat, noch ausweichen zu können.
 
Es besteht auch ein Risiko bei grün die Ampel zu über queren, alles eine Vertrauenssache Fremden gegenüber, wer weiß was die gegen mich im Schilde führen...

Eben. Es wird immer Risiken geben. Auch, daß einer plötzlich verrückt spielt und mich auf dem Fußweg umnietet. Und darum vertrete ich ja die Meinung, daß es trotz dieser Möglichkeit falsch wäre nun Panik zu schieben und sich auch noch Augen am Hinterkopf wachsen zu lassen. Mal ehrlich, ständig in Angst vor irgendwas zu leben, dann ist doch die Lebensqualität letztendlich vollkommen im Allerwertesten.
 
@DTX xxx
Ja, das mit dem Denken versuchst du jetzt noch ein Mal, wenn du dann den Aluhutsarkasmus gefunden hast, darfst du den behalten und auch gerne wieder posten. Danke.
 
Eben. Es wird immer Risiken geben. Auch, daß einer plötzlich verrückt spielt und mich auf dem Fußweg umnietet. Und darum vertrete ich ja die Meinung, daß es trotz dieser Möglichkeit falsch wäre nun Panik zu schieben und sich auch noch Augen am Hinterkopf wachsen zu lassen. Mal ehrlich, ständig in Angst vor irgendwas zu leben, dann ist doch die Lebensqualität letztendlich vollkommen im Allerwertesten.
aber echt he.
darum surfe ich mit einem ungepatchten windows xp. natürlich läuft bei mir auch alles als admin, diese rechtetrennung nervt doch eh nur.
ist doch alles nur gefährlich, wenn man sich das einreden lässt.

wenn man ganz feste dran glaubt besoffen gut zu fahren, dann klappt das übrigens ebenfalls. :)
 
aber echt he.
darum surfe ich mit einem ungepatchten windows xp. natürlich läuft bei mir auch alles als admin, diese rechtetrennung nervt doch eh nur.
ist doch alles nur gefährlich, wenn man sich das einreden lässt.

wenn man ganz feste dran glaubt besoffen gut zu fahren, dann klappt das übrigens ebenfalls. :)

Was für ein dummes Geschwafel. Davon redet überhaupt keiner. Wenn die Menschen im Netz nicht grundsätzliche Verrhaltensweisen ändern und weiterhin jeden Mist aus diversen Cybergullys installieren bzw. sich auf Warez- oder Raubkopiererseiten herumtreiben, taugt die ganze Patcherei maximal nur, um ein trügerisches Sicherheitsgefühl zu schaffen. Noch dazu, wenn man nicht genau weiß was man sich da auf den Rechner zieht, kann das auch mal sicherheitstechnisch nach hinten los gehen. Und im Worst Case ist die IT eben übehaupt nicht mehr nutzbar.

Wie gesagt. An der grundlegenden Sicherheitslage hat sich so gut wie nichts geändert.

Frei nach dem Motto:

IT sicher und nicht mehr angreifbar, weil nur noch eingeschränkt oder überhaupt nicht mehr funktionsfähig.

Man könnte solche dummen Argumentationen auch mit Diskussionen um das Für und Wider von Fahrradhelmen vergleichen. Die schaffen zwar ein Sicherheitsgefühl, nutzen aber im Grunde wenig, wenn Radfahrer erstens verkehrsrechtlich stockdoof, zweitens völlig lernresistent und drittens ignorant sind. Der so geschützte Kopf bleibt dann zwar ganz, das Genick bricht aber trotzdem.
 
Zuletzt bearbeitet:
@ The Tall Man

Den letzten Absatz fand ich super, habe herzlich gelacht, danke.
 
Ich finde es ja witzig von dummen Geschwader zu reden und dann anderen vorzuwerfen, sie würden ja eh Ware ziehen.
 
Ich finde es ja witzig von dummen Geschwader zu reden und dann anderen vorzuwerfen, sie würden ja eh Ware ziehen.

Ließ nochmal - das steht keinesfalls da... A) schreib er vom "rumtreiben" auf diesen Seiten - was keineswegs das Laden der Software impliziert und B) lautet die Aussage eher, dass man sich bedenkenlos Software aus dubioser Quelle auf den PC zieht. Und das IST (leider) ziemlich gängige Praxis. Ich sag nur, Spectre/Meltdown Test Tools, Windows Image Custom Tools, Windows Performance Optimization Tools und der ganzen Shit. Oder auch gut passend - Treiberproblem? -> DDU. Das Zeug gibts wie Sand am Meer. Da laden sich die Leute ihre "Software" sogar bei chip.de und Co. und lassen sich da irgendwelchen Download Manager Müll als Admin auf den PC zimmern, der irgendwelche Suchmaschinen und weis der Teufel noch was für Zeug "einbringt".

"Darum kann ich es auch immer noch nicht begreifen, wie man sich einerseits vollkommen naiv und sorglos gigabyteweise ungeprüfte Software und Apps auf dem Rechner bzw. auf das Smartphone packen kann, andererseits hier weiterhin wie ein paar aufgescheuchte Hühner Panik schiebt und hastig mit der heißen Nadel zusammengefrickelte Patches aufspielt."
Der Part mit dem Fahrradhelm passt wie Arsch auf Eimer und spricht sowas von die Wahrheit.

Würde man hier bspw. 100% WISSEN, was auf dem PC ausgeführt wird, wäre Spectre und Meltdown technisch gesehen überhaupt kein Angriffspunkt. Aber WEIL man das eben nicht weis - und die heutige IT so auch nicht mehr hinzubiegen geht, dass man das alles selbst weis - entsteht das Risiko durch eben diese Unwissenheit. Mittlerweile redet man sich das ja soweit schön, dass die Unwissenheit über bekannte Exploits = Sicherheit bedeutet - weil hat ja noch keiner vorgeführt :rolleyes:
 
[...] Mittlerweile redet man sich das ja soweit schön, dass die Unwissenheit über bekannte Exploits = Sicherheit bedeutet - weil hat ja noch keiner vorgeführt :rolleyes:
heisst das, ich werde auch nicht unsichtbar, wenn ich mir die augen zuhalte?
 
Was für ein dummes Geschwafel. Davon redet überhaupt keiner. Wenn die Menschen im Netz nicht grundsätzliche Verrhaltensweisen ändern und weiterhin jeden Mist aus diversen Cybergullys installieren bzw. sich auf Warez- oder Raubkopiererseiten herumtreiben, taugt die ganze Patcherei maximal nur, um ein trügerisches Sicherheitsgefühl zu schaffen. Noch dazu, wenn man nicht genau weiß was man sich da auf den Rechner zieht, kann das auch mal sicherheitstechnisch nach hinten los gehen. Und im Worst Case ist die IT eben übehaupt nicht mehr nutzbar.

Wie gesagt. An der grundlegenden Sicherheitslage hat sich so gut wie nichts geändert.

Frei nach dem Motto:

IT sicher und nicht mehr angreifbar, weil nur noch eingeschränkt oder überhaupt nicht mehr funktionsfähig.

Man könnte solche dummen Argumentationen auch mit Diskussionen um das Für und Wider von Fahrradhelmen vergleichen. Die schaffen zwar ein Sicherheitsgefühl, nutzen aber im Grunde wenig, wenn Radfahrer erstens verkehrsrechtlich stockdoof, zweitens völlig lernresistent und drittens ignorant sind. Der so geschützte Kopf bleibt dann zwar ganz, das Genick bricht aber trotzdem.
:d
Sarkasmus in, real live style!

Dann installiert halt kein Gully OS.
Zumindest beim Thread-Sheduler sollte eine Sprache gesprochen werden...
 
...lautet die Aussage eher, dass man sich bedenkenlos Software aus dubioser Quelle auf den PC zieht. Und das IST (leider) ziemlich gängige Praxis. Ich sag nur, Spectre/Meltdown Test Tools, Windows Image Custom Tools, Windows Performance Optimization Tools und der ganzen Shit. Oder auch gut passend - Treiberproblem? -> DDU. Das Zeug gibts wie Sand am Meer. Da laden sich die Leute ihre "Software" sogar bei chip.de und Co. und lassen sich da irgendwelchen Download Manager Müll als Admin auf den PC zimmern, der irgendwelche Suchmaschinen und weis der Teufel noch was für Zeug "einbringt".

Wobei ich hier gerechterweise auch zugeben möchte, daß selbst ich, der ewige Pessimist ab und zu mal diverse Sachen von etablierten Quellen wie Chip, Heise etc. ziehe. Es ist eben auch eine Vertrauenssache inwieweit ich den Portalbetreibern und auch all den Hobbyentwicklern traue. Und das sind ja gottseidank in der Mehrheit gute Jungs und Mädels, die sich da richtig reinknien und uns aus reinem Spaß an der Freude an ihrer Arbeit teilhaben lassen.

Viele Sachen wären ohne entsprechende Tools, gerade auch beim Aufsetzen eines Mediacenters auf der Basis XBMC/Kodi, nur schwer oder garnicht umzusetzen.

Daß man irgendwann auch mal ein faules Ei erwischt kann man natürlich nie vollkommen ausschließen. Das war aber auch schon vor Meltdown/Spectre so. Sicher ist es nicht verkehrt, wenn man sich im Falle Meltdown/Spectre eine Birne macht. Zumal diese Angriffsmöglichkeiten definitiv eine neue Qualität haben.
 
heisst das, ich werde auch nicht unsichtbar, wenn ich mir die augen zuhalte?

Da muss ich dich enttäuschen, leider ist dem nicht so - aber Psssst bitte behalts für dich. Hier glauben viele dran... :wink:

Es ist eben auch eine Vertrauenssache inwieweit ich den Portalbetreibern und auch all den Hobbyentwicklern traue. Und das sind ja gottseidank in der Mehrheit gute Jungs und Mädels, die sich da richtig reinknien und uns aus reinem Spaß an der Freude an ihrer Arbeit teilhaben lassen.

Klar - kein Ding. Im Zweifel _kann_ das aber halt nach hinten losgehen. Wäre ich einer der "bösen", ICH würde es genau dort versuchen. Du bekommst die Software 1A unters Volk - die reißen es dir aus der Hand und küssen dir noch die Füße für. Und um es noch witziger zu machen - die Softwarefunktion KANN ja dabei sogar das machen, für was sie beworben wurde... ;)
So nach dem Motto, nen Antiminer Plugin zum Unterbinden von dritten Scripten fürs Minen von Cryptowährungen (außer der Eigenen) :fresse:

Am Ende ist es nur eine Frage der Zeit bis die Kiste mal knallt... und jede Wette, da gucken sich dann alle wieder blöde an und fragen sich, wie das wohl passieren konnte ;)
 
Zuletzt bearbeitet:
Mittlerweile redet man sich das ja soweit schön, dass die Unwissenheit über bekannte Exploits = Sicherheit bedeutet - weil hat ja noch keiner vorgeführt :rolleyes:
Wenn du dir deshalb in die Hosen machst, dann solltest du alles was mit Elektronik zu tun hat entsorgen. Was meinst du wie viele Exploits manchen bekannt sind, von denen 99,999% noch gar nichts wissen?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh