Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)
- Ersteller HWL News Bot
- Erstellt am
DragonTear
Legende
@DON
Ah, danke für die Aufklärung!
Also reine Datenbankserver hinter einer Firewall haben nicht wirklich was ohne den Patch zu befürchten.
Denke mal für solche Systeme wird die Softwarelösung optional bleiben und nicht fest im OS integriert.
Sobald du bei nem iOT Gerät, Code ausführen kannst, ist die Sache sowieso schon gegessen, denn da gibt es meist keine großen zusätzlichen Sicherheitsmaßnahmen oder gar VMs.
Btw. wie kommt man hier dazu die Sache mit VW zu vergleichen?
Bei VW hat man Dinge absichtlich getan. Hier ist es offensichtlich ein Fehler und wohl eher kaum ein fahrlässiger (man wird keinen Richter dazu bringen können zu denken: "wäre ich der Entwickler gewesen, wäre mir das aufgefallen!").
Denke dass auch in den USA, die Klagen jetzt nicht viel rausholen werden.
Allerdings könnte man Intel dazu zwingen, die Benchmarks mit denen sie werben, anzupassen.
Ah, danke für die Aufklärung!
Moment, soweit ich das verstehe ich der Bug nicht direkt ein Einfallstoor! Er kann dazu genutzt werden, Previlege-Escalation zu erreichen. Dafür ist aber erstmal eine Sicherheitslücke notwendig, die es erlaubt, Code auf dem System auszuführen.
Also reine Datenbankserver hinter einer Firewall haben nicht wirklich was ohne den Patch zu befürchten.
Denke mal für solche Systeme wird die Softwarelösung optional bleiben und nicht fest im OS integriert.
Sobald du bei nem iOT Gerät, Code ausführen kannst, ist die Sache sowieso schon gegessen, denn da gibt es meist keine großen zusätzlichen Sicherheitsmaßnahmen oder gar VMs.
Btw. wie kommt man hier dazu die Sache mit VW zu vergleichen?
Bei VW hat man Dinge absichtlich getan. Hier ist es offensichtlich ein Fehler und wohl eher kaum ein fahrlässiger (man wird keinen Richter dazu bringen können zu denken: "wäre ich der Entwickler gewesen, wäre mir das aufgefallen!").
Denke dass auch in den USA, die Klagen jetzt nicht viel rausholen werden.
Allerdings könnte man Intel dazu zwingen, die Benchmarks mit denen sie werben, anzupassen.
Zuletzt bearbeitet:
Das ist prinzipiell korrekt. Allerdings ist es fahrlässig Single-Layer-Security aufzubauen. Für den Fall, dass es möglich ist, Code auf dem Server auszuführen, müssen weitere Maßnahmen Schlimmeres verhindern, z.B. in Form von VMs, Containerisierung oder das klassische Rechtesystem. Alle drei mit dem Intel-Bug hinfällig.
Mo3Jo3
Experte
Das ist glaube ich auch ein sehr großes Problem...... immer mehr Leuten haben IoT Geräte zuhause. Das fängt ja schon bei vernetzten Feuermeldern an. Jedes Gerät könnte gekapert werden und Patches für solche Geräte? Werden wohl kaum erscheinen. Für Botnetzbetreiber ein Paradies.
Und das Einfallstor kann sich irgendwo anders im Netzwerk befinden.
Zuletzt bearbeitet:
@DragonTear
Natürlich benötigt man erstmal irgendwie Zugriff auf das System, um dort vom Speicherbereich auf andere Speicherbereiche zuzugreifen.
Aber Datenbankserver selbst sind aufgrund ihrer Datenbanksoftware anfällig. MySQL, Access etc. haben in der Vergangenheit zu Hauf bewiesen, löchrig genug zu sein, um Schadcode einzufügen. Wenn man dann bspw. von der Datenbank aus den RAM des Servers auslesen und ausleiten kann - super! Schauen wir doch mal, was neben der Datenbank sonst noch auf dem Server rennt.
Du musst gar nicht die Server an sich attackieren, sondern die Software, die darauf läuft. Nichts anderes nutzen Hacker beim Einfall auf Server, Telefonanlagen etc. Die Firewall ist da hilflos, wenn die Software frei nach außen kommunizieren darf.
Das Problem der IoTs ist, dass die von den Herstellern aufgespielten Apps Sicherheitslücken haben. D.h. man attackiert wie bei Servern die Apps, die darauf liegen. Und wenn dann bspw. ein Sideload möglich ist - gute Nacht.
Natürlich benötigt man erstmal irgendwie Zugriff auf das System, um dort vom Speicherbereich auf andere Speicherbereiche zuzugreifen.
Aber Datenbankserver selbst sind aufgrund ihrer Datenbanksoftware anfällig. MySQL, Access etc. haben in der Vergangenheit zu Hauf bewiesen, löchrig genug zu sein, um Schadcode einzufügen. Wenn man dann bspw. von der Datenbank aus den RAM des Servers auslesen und ausleiten kann - super! Schauen wir doch mal, was neben der Datenbank sonst noch auf dem Server rennt.
Du musst gar nicht die Server an sich attackieren, sondern die Software, die darauf läuft. Nichts anderes nutzen Hacker beim Einfall auf Server, Telefonanlagen etc. Die Firewall ist da hilflos, wenn die Software frei nach außen kommunizieren darf.
Das Problem der IoTs ist, dass die von den Herstellern aufgespielten Apps Sicherheitslücken haben. D.h. man attackiert wie bei Servern die Apps, die darauf liegen. Und wenn dann bspw. ein Sideload möglich ist - gute Nacht.
DragonTear
Legende
Es wird in einer Server-Infrastruktur sehr selten von aussen durch nur eine Firewall, auf einen Server zugegriffen.
Nehmen wir z.B. netflix. Ein herkömmlicher Server stellt die Weboberfläche bereit und bietet die einzige bidirektional Kommunikationsschnittstelle nach aussen.
Soll ein Film abgerufen werden, wird der Datenbankserver vom Frontend-Server angesprochen und streamt die Daten eindirektional nach aussen.
Genau so schaut's aus.
Der Intel-Bug ist ein WorstCase-Szenario!
Jede Sicherheit, die mit VMs bislang erreicht wurde, kann ohne den Patch umgangen werden. Wenn man auf VM1 Schadcode einschleusen konnte, hat man Speicherzugriff auf den kompletten Server - und damit den Speicherinhalt von VM2, VM3, VM4, ... VMx! Und bei Serverfarmen von Hetzner & Co. ein Fiasko. Von Google- & Amazon-Cloud ganz zu schweigen.
Dann ist es halt nicht die Datenbank, sondern der Load Balancer. Gleiches Problem. Mit genügend Arbeit wäre es aber sicherlich auch möglich sich vom Load Balancer bis zur Datenbank zu arbeiten.
oooverclocker
Semiprofi
- Mitglied seit
- 29.08.2012
- Beiträge
- 5.610
Jep. Javascript läuft ja (so hat man es mir zumindest beigebracht) auch in einer Sandbox. Praktisch sind sämtliche Programme, die aus Sicherheitsgründen vom Kernel-Speicherbereich isoliert wurden, damit nicht mehr sicher (jedenfalls, wenn das Betriebssystem den Intel-CPU-Bug nicht gepatcht hat).
Auch einige WIndows-Viren müssten dadurch beispielsweise über Wine auf Linuxgeräten Schaden anrichten können, während das eigentlich unmöglich sein sollte.
Der Fix ist also absolut nötig und die Admins von Datenbanken dürfen sich um eine etwa 20% schlechtere Performance freuen.
Auch einige WIndows-Viren müssten dadurch beispielsweise über Wine auf Linuxgeräten Schaden anrichten können, während das eigentlich unmöglich sein sollte.
Der Fix ist also absolut nötig und die Admins von Datenbanken dürfen sich um eine etwa 20% schlechtere Performance freuen.
für 2-3% haben leute schon 100€ aufpreis von i5 auf i7 gezahlt.
Dieser Post hier zeigt eigentlich erstmal wie viel 2-3% sein können. Im Grunde nämlich 100€.
junkb00ster
Semiprofi
Schön gemacht Intel. Nachdem man praktisch 10 Jahre nicht mehr aufrüsten musste direkt mal so ein Hammer. So generiert man Absatz.
Das muss jetzt Klagen hageln. Diesen mist den sie mit der ME verzapft haben und jetzt ist jeder Prozessor ein Sicherheitsleck.
Das muss jetzt Klagen hageln. Diesen mist den sie mit der ME verzapft haben und jetzt ist jeder Prozessor ein Sicherheitsleck.
DragonTear
Legende
Javascript ist eine intepretierte Programmiersprache. Da hast du keinen direkten Zugriff auf Speicheradressen o.ä.
Und wie lautet die Anklageschrift?
Gamer sind wie alle Betroffen von der Sicherheitslücke. Also gehe du lieber schlafen. Wie die Leistung nach den Patch ist kann man noch gar nicht sagen, da bis jetzt nur mit einen Beta Patch getestet wurde. Und wie man MS kennt kann beim Patchen noch schlimmeres passieren.
- - - Updated - - -
Was ich eigenartig finde, das der Bug seit 10 Jahren besteht und erst jetzt gemeldet wird. Wer böses dabei denkt. Nächster PC wird wahrscheinlich ein AMD. Wenn nicht Intel ordentlich bezahlt für den Bug.
oooverclocker
Semiprofi
- Mitglied seit
- 29.08.2012
- Beiträge
- 5.610
Der Patch ist da, Microsoft bastelt da seit Wochen/Monaten dran.
Und die Windows Insider 17063 ging am 19.12.2017 in den Fast Ring. So lange gibt es den Patch schon.
Da dieser kritische Intel-Bug nun öffentlich gemacht wird, bedeutet das, dass die Patches final sind. Die offiziellen Statements kommen morgen.
Und dein Bezug auf die VM von Denuvo ist ein schlechter Scherz. Die Idee hinter dieser VM ist eine gänzlich andere, da hast du keinen Zugriff drauf. Interessanterweise könnte der Intel-Bug jedoch dazu führen, dass die Cracker nun Zugriff auf die "VM Protect" haben. ABer das ist ein anderes Thema.
Jedenfalls schrieb ich bereits weiter vorne, dass alle betroffen sind, die Intel-CPUs nutzen. Aber deine Darstellung für die Gamer trifft nicht zu. Es gibt keinen spürbaren Leistungsverlust und keine Gefahr durch "Denuvo VM Protect".
Erster Teil ja, zweiter Teil nein.
Du kannst mit Javascript Speicherbereiche abfragen, um bspw. Nutzereingaben anzunehmen, zwischenzuspeichern und später erneut abzurufen und zu verwenden. Javascript ist sehr flexibel - und wenn es es seiner Sandbox ausbrechen kann, saugefährlich.
- Mitglied seit
- 15.11.2002
- Beiträge
- 27.060
3. Update: Stellungnahme von Intel: Intel kämpft mit schwerer Sicherheitslücke im Prozessor-Design (Update: Windows-Benchmarks) - Hardwareluxx
Zuletzt bearbeitet:
Ich finde den Artikel wirklich gut!
Die Benchmarks lasse ich als Spielerei durchgehen bzw. sind für die nächsten Tage/Wochen sicherlich eine gute Ausgangsbasis.
Dass eine ganze Architektur das Problem hat und das nur Softwareseitig kompensiert werden kann ist schon eine wilde Sache.
Wer seine Gerätschaften bei Intel erstanden hat und seine Leistung nicht mehr abrufen kann wird ein ungepatchtes System haben oder vorzeitig das System erneuern müssen, wenn die Kapazitäten eng werden.
Und für den wird es in 90% der Fälle nichts geben.
Die Benchmarks lasse ich als Spielerei durchgehen bzw. sind für die nächsten Tage/Wochen sicherlich eine gute Ausgangsbasis.
Dass eine ganze Architektur das Problem hat und das nur Softwareseitig kompensiert werden kann ist schon eine wilde Sache.
Wer seine Gerätschaften bei Intel erstanden hat und seine Leistung nicht mehr abrufen kann wird ein ungepatchtes System haben oder vorzeitig das System erneuern müssen, wenn die Kapazitäten eng werden.
Und für den wird es in 90% der Fälle nichts geben.
DragonTear
Legende
Also Intel hat auf jeden Fall klar gesagt dass es nicht nur ihre Produkte wären:
Ob das stimmt, muss man natürlich testen. Bezweifle aber dass man jetzt offen gelogen hat, mit dieser Aussage. Das würde man ihnen zu lange anlasten.
Auf AMD wird in der tat nicht direkt verwiesen.
Ob das stimmt, muss man natürlich testen. Bezweifle aber dass man jetzt offen gelogen hat, mit dieser Aussage. Das würde man ihnen zu lange anlasten.
Auf AMD wird in der tat nicht direkt verwiesen.
G00fY
Enthusiast
- Mitglied seit
- 13.10.2009
- Beiträge
- 963
Siehe mein Beitrag oben. Ansonsten gibts ja aktuell Hinweise das die arm64 Architektur auch in gewisser Weise betroffen ist: arm64: Unmap the kernel whilst running in userspace (KAISER) [LWN.net]
Naja, Intel muss eigentlich nur einen Hersteller finden, der ein ähnliches Design verwendet.
Hat eigentlich schon jemand VIA und die Chinesen gefragt?
bawder
Legende im Bällebad
- Mitglied seit
- 28.11.2004
- Beiträge
- 14.240
Ob AMD das Aufdecken dieses Bugs angeleiert hat?
intel schreibt neben weiteren firmen sei AMD auch betroffen, also mal abwarten wie es weiter geht
eGnition
Enthusiast
@bawder
Hast du ne Quelle dazu?
Hast du ne Quelle dazu?
Zuletzt bearbeitet:
bawder
Legende im Bällebad
- Mitglied seit
- 28.11.2004
- Beiträge
- 14.240
- Mitglied seit
- 01.07.2008
- Beiträge
- 1.074
Lies die Kommentare über dir [emoji28]
Gesendet von meinem ONEPLUS A3003 mit Tapatalk
Na klar: Linux Will End Up Disabling x86 PTI For AMD Processors - Phoronix
Intel hat sich einfach mal erdreistet jeden Prozessor als unsicher zu brandmarken und AMD hat diesen Schwachsinn für ihre Prozessoren wieder rausgepacht und einzelne Distributionen haben den Amd Patch auch schon in ihre Kernel integriert.
Ich mein intel geht's noch ihr baut Scheiße und seit unfähig die Scheiße auszubügeln ohne andere mit in die Scheiße zu reiten und die anderen müssen eure Scheiße wieder rauspatchen.
Entschuldigung für die Wortwahl.
Intel hat sich einfach mal erdreistet jeden Prozessor als unsicher zu brandmarken und AMD hat diesen Schwachsinn für ihre Prozessoren wieder rausgepacht und einzelne Distributionen haben den Amd Patch auch schon in ihre Kernel integriert.
Ich mein intel geht's noch ihr baut Scheiße und seit unfähig die Scheiße auszubügeln ohne andere mit in die Scheiße zu reiten und die anderen müssen eure Scheiße wieder rauspatchen.
Entschuldigung für die Wortwahl.
Und wo steht jetzt AMD sei betroffen?
eGnition
Enthusiast
Das frage ich mich gerade auch........
