Predictive Store Forwarding ist mögliche Sicherheitslücke für alle Zen-3-Prozessoren

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.039
ryzen_5000_logo.jpg
In einem Whitepaper haben AMDs Sicherheitsforscher eine Analyse zu einem möglichen Sicherheitsrisiko beim Predictive-Store-Forwarding-Feature (kurz: PSF) der Öffentlichkeit offenbart. Die Sicherheitslücke soll ausschließlich die aktuellen Zen-3-Prozessoren betreffen und von der Schwere her ähnlich sein, wie die Spectre-V4-Lücke. Die positive Nachricht ist natürlich, dass sich PSF deaktivieren lässt.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
 
Zuletzt bearbeitet:
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...

Warum es allerdings ein Feature braucht, dass eh "nur " 0,5% Mehrleistung bringt?
Gute Frage.... :unsure:
 
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Wird wohl je nach situation anders sein. Und wenn jemand gleich mal ne serverfarm von AMD bezieht. Können 0,5% schnell mal eine eingesparte SW lizenz sein.
 
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...


Gute Frage.... :unsure:
Achso, von wem wurden denn die ganzen Forschungen finanziert, die die ganzen Sidechannel-Lücken offen legten ?
 
Viel wichtiger ist einfach die Tatsache das ich über Linux die Funktion deaktivieren, aber über Windows 10 nicht.

Heißt das im Umkehrschluss ?Kann ich über Linux per Remote über die CLI Schadcode einschleusen und bei Windows 10 nur mit physischem Zugang?
So genau wird das nicht beschrieben, sei es drum. Wer Server hat, hat in der Regel eh Linux (VMware)und deaktiviert das feature. Man muss alles einfach viel nüchterner betrachten.

So viele Sicherheitslücken die Windows selbst hat und Leute meckern über komplexe Sicherheitslücken die man nicht einfach mal eben ausführen kann wie bei den Prozessoren.
Die Intel Sicherheitslücken sind für privat Anwender auch nicht relevant, sondern eher im B2B / Server Farmen und selbst da brauch man Administrative Berechtigung und dann kommt noch die Frage ob man das nur nativ ausnutzen kann oder auch aus einer Virtualisierten Maschine etc.

Sicherheitslücken wo man physischen Zugang brauch um diese Auszunutzen, finde den Fehler ....xD
 
Zuletzt bearbeitet:
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Da 0,5%, hier 0,2% und dort 0,8%. Nach und nach kommen dann doch gewisse Leistungsverbesserungen zum Vorschein. Daß diese potentzielle Angriffsflächen bieten ist halt die Kehrseite. Aber für Otto-Normalverbraucher eigentlich kein Thema. Unternehmen sind hier eher angepisst wenn es eine Attacke gibt.
 
Nicht die erste und letzte Lücke in ner CPU, wie bereits angemerkt ist aber AMDs Verhalten etwas offener... ob es mir als Kunden jetzt etwas bringt wage ich aber zu bezweifeln, da ich die Lücke nicht schließen kann.
Ist diesem Fall mag das Verhalten von AMD wohl ein wenig offener sein, aber auch AMD ist da nicht immer ganz offen. Z.B. Ist AMD nicht offen damit, dass man auch von Foreshadow betroffen...
 
Bei Team Green wird es Kommentarlos einfach in die Patchnotes beigefügt xD
1617786282317.png
 
Wieso wird da kein Link reingeschoben? Wird auch nicht sehr öffentlich gemacht das ganze. Während ich von Intel und AMD immer mal wieder in den News was lese ist über Nvida immer nichts zu hören.
Ist aber auch egal, Es wird ja immer nur auf AMD und Intel rumgeritten, das Nvidia auch Server Virtualisierungslösungen(vGPU) anbieten ist wohl nicht relevant.
 
Wieso wird da kein Link reingeschoben?
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
 
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
 
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
Na Hier wird auch allgemein der Umgang mit Sicherheitslücken angekreidet, ich sehe nicht wenn ich mein Experience öffne das ich keinen Hinweis bekomme sondern nur vermüllte unnötige Werbung, anstelle das man unter den news einen Hinweis mit Link zur aktuellen Sicherheitsproblemen reinstellt wird das einfach mehr oder wenig verschwiegen und dann eher Kommentarlos als Einzeiler in den Patchnotes hinterlegt mit "Sicherheitslücken wurden gefixed" finde ich halt nicht so cool.

Stability und Security sind immer erstmal wichtiger, dann kommt erstmal Performance, sowas wie Features die <1% nutzen die optional sind meiner Meinung nach ganz weit hinten.
Welches Game demnächst ANSEL kompatibel ist ??? => Wayne?

In dem Moment wo ich nach Sicherheitslücken und deren Status extra suchen muss und stattdessen Werbung über triviales bekomme, ist halt die Methode schon Fragwürdig.
Grün hätte ja die Möglichkeit durch den Optionalen Zwang von Experience die Leute zumindest mit einem Hinweis zu informieren: "Es wurde eine Sicherheitslücke entdeckt, weitere Infos unter https://www.nvidia.com/de-de/security/
Wäre auch bei AMD Grafikkarten Besitzer möglich, zumal der Treiber auch feststellen kann welchen Prozessor man hat.

Mal davon abgesehen das ich aktiv nach sowas suchen musste um die Seite zu finden. Die ist absolut versteckt und in den Nvidia News wird nicht mal darauf hingewiesen das es Security Fixes gibt oder ähnliches.
Mehr minder sehr schwach gehalten, um nicht zu behaupten fast schon von Vertuschung zu sprechen, sind die anderen nicht besser.

Ich finde es schon relevant wenn ich über vGPU an eine VM weiterreiche und sich ein Schadprogramm über den Treiber Adminrechte holen könnte, schon jetzt nicht ganz trivial auch wenn der Angriff sehr Komplex ist und möglicherweise für den Privatanwender eher trivial ist. Aber jeder der sowas wie BlueStacks verwendet wird automatisch GPU Virtualisierung nutzen auch im privaten Umfeld.


Leider ehrlich gesagt in dem Punkt sind alle großen durchgefallen. Tatsächlich ist in dem Beispiel Intel positiv aufgefallen, unter Lösungen/Sicherheit kommt man zumindest in den richtigen Bereich um weiter such zu können. Bei den anderen Pustekuchen.
Bei AMD ist unter dem Support Bereich zu finden, die machen zwar auch keine große Presse drum aber gänzlich versteckt ist es auch nicht.:rolleyes2:

Bei Nvidia wird in der Fußnote:confused: der Webseite ein Link zu Security angeboten, wieso nicht unter dem Bereich Support z. B?

Vielleicht kann ja Hardwareluxx da einen Journalistischen Test machen wie einfach oder schwer es ist an Infos zu Sicherheitslücken/News zu kommen.
 
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
 
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
Ich finde auch das man sachlich bleiben sollte. Man darf seine eigene Meinung zu einem Thema äußeren sollte aber niemanden beleidigend oder persönlich angreifen.
 
Zumindest unter Linux lässt sich AMDs PSF-Funktion mit CLI-Befehlen (Command Line Interface) deaktivieren - wer auf Nummer sicher gehen möchte. Unter Windows 10 ist es scheinbar nicht möglich, diese Funktion auszuschalten.
Da werden einige Nutzer auf Patches waten müssen während es unter Linux einfach mit ein Paar Befehlen sich Deaktivieren lässt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh