Sicherheitshinweise von Intel: Neue BIOS-Updates

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.968
intel-cpu.jpg
Da der US-amerikanische Halbleiterhersteller Intel die Frequenz der BIOS-Updates reduzieren möchte, werden Sicherheitslücken aktuell nur noch quartalsweise veröffentlicht. So wurden am 12. März diesen Jahres seitens Intel unter anderem die Bugs des vierten Quartals des Jahres 2018 veröffentlicht. Insgesamt sind 17 Probleme vermeldet worden. Dies bezieht sich unter anderem auf die Firmware der Management Engine (ME) alias Converged Security and Management Engine (CSME). Aber auch die Unterfunktionen Trusted Execution Engine (TXE) und Active Management Technology (AMT) sind betroffen.Dabei handelt es sich unter anderem um Produkte wie die Core-i-Modelle der siebten und achten...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Gibt für die meisten Systeme ja eh mal wieder keine Updates, wie immer. So lange da seitens der Politik nicht endlich mal was passiert, wird sich das auch nicht ändern.
 
Ironie an: So erhöht INTEL die Sicherheit seiner Prozessoren. Was sind schon Meltdown, Spectre, Fore Shadow. Spoiler. Ironie aus!
 
Das nenn ich mal ne schnelle Reaktion von Intel top, Jetzt wäre mal wieder ein Performance-Test angebracht. :)
 
Wird man von Sicherheitsexperten, auf dem offiziellen Wege mit den 90 Tagen Frist, auf die Sicherheitslücken hingewiesen, kann man in Ruhe patchen.

Aber wehe Paddy92 liest das hier, der denkt dann gleich wieder an "Ryzenfall", bei dem auf einen AMD-Aktienkursfall spekuliert und die Sicherheitshinweise deutlich vor den 90 Tagen veröffentlicht wurden. :d

Tja, so kann es gehen, wenn man sich an das normale Protokoll hält.
 
fortunes schrieb:
Aber wehe Paddy92 liest das hier, der denkt dann gleich wieder an "Ryzenfall", bei dem auf einen AMD-Aktienkursfall spekuliert und die Sicherheitshinweise deutlich vor den 90 Tagen veröffentlicht wurden.
Zum Vergrößern anklicken....

Ich habe das Vorgehen von CTS-Lab ebenfalls kritisiert. Also was genau ist dein Problem?
 
Paddy92 schrieb:
Ich habe das Vorgehen von CTS-Lab ebenfalls kritisiert. Also was genau ist dein Problem?
Zum Vergrößern anklicken....
Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.

Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert. Über zwei Monate. Google als Entdecker der Schwachstelle hat sogar ein zweites Mal um 90 Tage die Frist verlängert.

Aber Ryzenfall ist genau so schlimm wie Meltdown, Spectre & Co.
 
Manche sollten vielleicht einfach mal an die frische Luft.
Jetzt wird man schon angefeindet wenn man in einer News was geschrieben hat und in der anderen halt nicht. Damit das Gleichgewicht stimmt oder was?
Und dieses "mal abwarten wie lange es geht bis User X schreibt" total krank, echt jetzt :stupid:

Edit: Eigentlich wollte ich mir diesen Kommentar sparen, aber geht mal durch die News in den letzten Tagen durch und ihr werdet sehen was ich meine. Man kann keine verd.... CPU/GPU News mehr durchlesen ohne die selbe Art von Kommentar zu lesen.
 
Zuletzt bearbeitet:
Ist doch wie bei der Boing, da sollte ein Sicherheitsupdate erst ein halbes Jahr nach dem Absturz geliefert werden. Jetzt sieht man, wohin sowas führt. Der Intel-Prozessor sollte ganz vom Markt genommen werden.
 
Zuletzt bearbeitet:
fortunes schrieb:
Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.

Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert. Über zwei Monate. Google als Entdecker der Schwachstelle hat sogar ein zweites Mal um 90 Tage die Frist verlängert.

Aber Ryzenfall ist genau so schlimm wie Meltdown, Spectre & Co.
Zum Vergrößern anklicken....

Gegenfrage, wo ist deine Erklärung, dass diese Lücken sinnfrei sind, da der Angreifer physischen Zugriff benötigt?
Oder warum hat AMD länger als Intel gebraucht Updates gegen Spectre zu liefern, obwohl diese ja auch frühzeitig informiert wurden?

Was soll dieser Kindergarten?!
 
Paddy92 schrieb:
Gegenfrage, wo ist deine Erklärung, dass diese Lücken sinnfrei sind, da der Angreifer physischen Zugriff benötigt?
Zum Vergrößern anklicken....
Wo habe ich gesagt, dass sie sinnfrei sind? Es sind normale Sicherheitslücken wie die bei Intels ME auch. Da kommen regelmäßig CVEs rein und die Patches folgen auf dem Fuße. Alles normal, wo sich niemand aufregt. Aber Bei "Ryzenfall & Co.", das nichts anderes ist, wird dann gehyped.

Paddy92 schrieb:
Oder warum hat AMD länger als Intel gebraucht Updates gegen Spectre zu liefern, obwohl diese ja auch frühzeitig informiert wurden?
Zum Vergrößern anklicken....
Weil die zahlreichen Angriffsvektoren erst später kamen. AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden. Das gleiche Spiel bei Meltdown. Intel war ja glasklar von Anfang an betroffen. Aber Meltdown, Spectre, Spoiler (und was da noch so alles kommt) sind ja erst der Anfang. Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.
 
Jaimewolf3060 schrieb:
@fortunes

Könnte am viel geringeren Anteil der AMD CPU‘s liegen!
Zum Vergrößern anklicken....
Seit Bekanntwerden von Meltdown, Spectre & Co. sitzen permanent Tüftler an den CPUs aller Hersteller. Deswegen kommt ja nachträglich so viel Mist rein.

Und trotzdem ist die Bandbreite bei Intel ungleich höher. Am Anfang - ja, das kann ich mir vorstellen, dass der Fehler zuerst bei Intel aufgrund der Marktverbreitung aufgetaucht ist. Aber jetzt hat das nichts mehr mit der Verteilung zu tun.
 
fortunes schrieb:
Wo habe ich gesagt, dass sie sinnfrei sind?
Zum Vergrößern anklicken....

Das war deine erste Reaktion zu den AMD-Flaws:

fortunes schrieb:
"Dazu muss der Angreifer allerdings das BIOS des verwendeten Mainboards flashen können."

Für viele der beschriebenen Angriffe ist ein Zugriff mit Administrator-Rechten notwendig – teilweise in Kombination mit neu signierten Treibern.

:lol:

Diese Anleitung beschreibt, wie man problemlos aus jedem Gefängnis der Welt ausbrechen kann. Voraussetzung dafür ist, dass man sich außerhalb des Gefängnisses befindet.

:lol: :rofl: :lol: :banana:
Zum Vergrößern anklicken....


oder hier:

fortunes schrieb:
Ja, letztlich ist jedes Sicherheitssystem anfällig, weil Menschen daran programmiert haben.

Ich empfinde jedoch das, was hier präsentiert wird, einfach nur lächerlich. Die Voraussetzungen, um die "Fehler" ausnutzen zu können, laufen quasi darauf hinaus, an dem PC zu sitzen und Admin zu sein oder wenigstens laaaaaaange Zeit unbeobachtet an dem PC mit AMD-Technik hantieren zu können.

Was ein ganz großer Käse von den Deppen.

- - - Updated - - -


Naja, auch die "Lücken" an sich sind fragwürdig. Wieso spricht man von einer Lücke, wenn man entweder physikalischen Zugriff auf den PC und/oder Admin-Rechte braucht, um diese überhaupt ausnutzen zu können?

Die "Lücken" klingen eher nach Programmierfehlern, die ohne großflächigen Zugriff von außen eher gar nicht auszunutzen sind.
Zum Vergrößern anklicken....

und ganz frisch:

fortunes schrieb:
Für die restlichen "Probleme" benötigst du Admin-Rechte auf dem angegriffenen PC. Und genau das hinterfragt die Sinnhaftigkeit der "Probleme". Wenn ich eh schon Admin auf der Maschine bin - was soll das dann?
Zum Vergrößern anklicken....


fortunes schrieb:
AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden.
Zum Vergrößern anklicken....

Ach, hast du denn auch einen Beleg für diese Aussage?
AMD sprach von einem near-zero risk und nirgends davon, dass sie nicht betroffen seien..
Zudem ist dem offiziellen Whitepaper zu Spectre zu entnehmen, dass AMD von beiden Varianten von Anfang an betroffen war. Dieses ganze nur theoretisch betroffen oder was weiß ich, wurde von anderen Leuten in Umlauf gebracht.
 
Paddy92 schrieb:
und ganz frisch:
Zum Vergrößern anklicken....
Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.

Deine Unterstellung der "Sinnfreiheit" habe ich nie zum Ausdruck gebracht. Ich habe die Sinnhaftigkeit hinterfragt. Äpfel und Birnen.

Paddy92 schrieb:
Ach, hast du denn auch einen Beleg für diese Aussage?
AMD sprach von einem near-zero risk und nirgends davon, dass sie nicht betroffen seien..
Zudem ist dem offiziellen Whitepaper zu Spectre zu entnehmen, dass AMD von beiden Varianten von Anfang an betroffen war. Dieses ganze nur theoretisch betroffen oder was weiß ich, wurde von anderen Leuten in Umlauf gebracht.
Zum Vergrößern anklicken....
Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:
Meltdown- und Spectre-Mitentdecker Daniel Gruss - "Es sind alle Prozessorenhersteller betroffen" (Archiv)
 
fortunes schrieb:
Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.
Zum Vergrößern anklicken....
Weil AMD nicht von der vollen Bandbreite an Meltdown und Spoiler betroffen war, sind sie "deutlich resistenter" ? Wohl kaum...
Es war von Anfang an klar, dass OoOe ein Sicherheitsproblem darstellt, völlig egal welche CPU von welchem Hersteller das Verfahren einsetzt.
Meltdown, die schwerwiegendste Lücke (CVSS 3.0 Base Score HIGH), wurde weitestgehend gefixt (bis auf den Leak von Adressregionen, die sowieso eine geringe Relevanz haben).
Die Spectre-Lücken klaffen in nahezu allen aktuellen CPUs, sogar die PowerPC-Architektur von IBM bleibt nicht verschont. Die Komplexität diese Lücke nach all den Gegenmaßnahmen auszunutzen ist hoch (sagt auch der CVSS Score).
Jeder fucking 0-Day einer beliebten Anwendung ist schlimmer als Spectre. Auch die Funktionsweise von AMDs PSP und Intels ME sind grundlegend schlimmer.

Ich versteh deinen Aufschrei bzgl. Intel hier nicht so ganz. Ja, Intel war anfällig für Meltdown und AMD (und alle Anderen außer ein paar ARM) (fast) nicht, ja Meltdown Patches kosten Leistung, aber trotz Fixes waren Intel CPUs in den meisten Anwendungen und Spielen schneller.
 
Mr.Mito schrieb:
Gibt für die meisten Systeme ja eh mal wieder keine Updates, wie immer. So lange da seitens der Politik nicht endlich mal was passiert, wird sich das auch nicht ändern.
Zum Vergrößern anklicken....

Einfach den Ball flach halten. Das ist so eine Panikmache. 99,9% aller User sind davon gar nicht betroffen und benötigen diese Updates einfach nicht. (Die auch noch Leistung kosten). Die User die den Schutz benötigen wissen das schon und kümmern sich auch darum.
 
fortunes schrieb:
Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.

Deine Unterstellung der "Sinnfreiheit" habe ich nie zum Ausdruck gebracht. Ich habe die Sinnhaftigkeit hinterfragt. Äpfel und Birnen.
Zum Vergrößern anklicken....

Blabla. Zugeben ist eh nicht deine Stärke. Blabla.


fortunes schrieb:
Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:
Meltdown- und Spectre-Mitentdecker Daniel Gruss - "Es sind alle Prozessorenhersteller betroffen" (Archiv)
Zum Vergrößern anklicken....

Warum gilt dein Vorwurf dann nur Intel, obwohl AMD genauso geschlampt hat und von Anfang an betroffen war?
Zu behaupten, man sei nicht betroffen, obwohl man nachweislich betroffen ist, ist jetzt nicht sonderlich positiv..
 
Hier gibt es ein paar Infos bezüglich Meltdown/Forceshadow bei AMD:

Wie auch beim Fall Meltdown glauben wir, dass unsere Prozessoren diesen neuen spekulativen Ausführungs-Angriffsvarianten gegenüber nicht anfällig sind: L1 Terminal Fault – SGX (auch als Foreshadow bekannt) CVE 2018-3615, L1 Terminal Fault – OS/SMM (auch als Foreshadow-NG bekannt) CVE 2018-3620 und L1 Terminal Fault – VMM (auch als Foreshadow-NG bekannt) CVE 2018-3646. Dies ist in den Schutzmechanismen für Hardware-Paging in unserer Architektur begründet. Wir empfehlen Kunden, die AMD EPYC™ Prozessoren in ihren Rechenzentren betreiben (inkl. in virtualisierten Umgebungen), keine Foreshadow-bezogenen Software-Abwehrmaßnahmen für ihre AMD-Plattformen zu implementieren.
Zum Vergrößern anklicken....
AMD Prozessorsicherheit | AMD

Am besten immer direkt bei Hersteller nachschauen, Dritte sind meist nie Up to date. :)
 
Paddy92 schrieb:
Blabla. Zugeben ist eh nicht deine Stärke. Blabla.
Zum Vergrößern anklicken....
Du solltest nicht von dir auf andere schließen. Ich hinterfrage etwas und stelle es damit für dich direkt als so gegeben dar. Äpfel und Birnen zum zweiten Mal.

Paddy92 schrieb:
Warum gilt dein Vorwurf dann nur Intel, obwohl AMD genauso geschlampt hat und von Anfang an betroffen war?
Zu behaupten, man sei nicht betroffen, obwohl man nachweislich betroffen ist, ist jetzt nicht sonderlich positiv..
Zum Vergrößern anklicken....
Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.

Deswegen gab es ja anfangs auch gar keine Angriffsmöglichkeiten, dann plötzlich doch Spectre2 unter bestimmten Voraussetzungen, dann plötzlich Meltdown x.x usw.
 
fortunes schrieb:
Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.

Deswegen gab es ja anfangs auch gar keine Angriffsmöglichkeiten, dann plötzlich doch Spectre2 unter bestimmten Voraussetzungen, dann plötzlich Meltdown x.x usw.
Zum Vergrößern anklicken....

Was laberst du?
Welcher PoC kam erst später?
Welche bestimmten Voraussetzungen?
 
Paddy92 schrieb:
Was laberst du?
Welcher PoC kam erst später?
Welche bestimmten Voraussetzungen?
Zum Vergrößern anklicken....
Oh man. Hast du alles von damals vergessen.

Wie schon geschrieben und dir quasi wieder mal beigebracht:

AMD ist anfangs davon ausgegangen, dass die Spectres bei AMD-CPUs nicht funktionieren:
Meltdown Spectre: Details und BenchÂ*marks zu den SicherheitsÂ*lücken in CPUs - ComputerBase

Da AMD zunächst daran festhielt, gab es auf Github eine Reihe von PoCs, die das Gegenteil nahelegten. Allerdings mussten dafür die Angriffsvektoren modifiziert werden, weil man nicht die gleichen Angriffsmuster wie bei Intel fahren konnte:
Project Zero: Reading privileged memory with a side-channel

Das Problem bei den ganzen PoCs: keiner hat einen Proof für Ryzen geliefert. Der kam tags darauf:
Spectre example code · GitHub

@Jaime
Ignore. :wink:
 
fortunes schrieb:
Oh man. Hast du alles von damals vergessen.
Zum Vergrößern anklicken....

Ne, du laberst meistens nur Schwachsinn. Lernst du eigentlich nicht daraus, wenn dich jemand korrigiert?
Was frage ich überhaupt, du posaunst den gleichen Quatsch paar Tage wieder in einem anderen Thread rum..


fortunes schrieb:
Da AMD zunächst daran festhielt, gab es auf Github eine Reihe von PoCs, die das Gegenteil nahelegten. Allerdings mussten dafür die Angriffsvektoren modifiziert werden, weil man nicht die gleichen Angriffsmuster wie bei Intel fahren konnte:
Project Zero: Reading privileged memory with a side-channel
Zum Vergrößern anklicken....

Kommt jetzt wieder dieses Gelaber über eBPF, was du schon damals nicht geschnallt hast?


fortunes schrieb:
Das Problem bei den ganzen PoCs: keiner hat einen Proof für Ryzen geliefert. Der kam tags darauf:
Spectre example code · GitHub
Zum Vergrößern anklicken....

Dir ist aber schon bewusst, dass dies der PoC aus dem Whitepaper zu Spectre ist und laut dem Whitepaper auch auf Ryzen funktioniert hat?!
Das Whitepaper habe ich dir hier schon verlinkt..


Gamerkind schrieb:
Die Intel-Fanatiker können mit Fakten mal wiweder nicht umgehen, sind hier aber eh immer die paar gleichen User...
Zum Vergrößern anklicken....

Du sei doch mal ganz ruhig. Von dir kommt meistens nur polemisches Gelaber und seltenst was konstruktives.
Zeig mir bei welchen Fakten ich falsch liege und erkläre es mir.
Oder kannst du das nicht?
 
Zuletzt bearbeitet:
Paddy92 schrieb:
Kommt jetzt wieder dieses Gelaber über eBPF, was du schon damals nicht geschnallt hast?
Zum Vergrößern anklicken....
Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren. :rolleyes:

Du redest hier über die Verwundbarkeit durch eBPF JIT, welches aber nur für V1 eine Rolle spielt.

Paddy92 schrieb:
Dir ist aber schon bewusst, dass dies der PoC aus dem Whitepaper zu Spectre ist und laut dem Whitepaper auch auf Ryzen funktioniert hat?!
Das Whitepaper habe ich dir hier schon verlinkt..
Zum Vergrößern anklicken....
Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach. :d

Paddy92 schrieb:
Du sei doch mal ganz ruhig. Von dir kommt meistens nur polemisches Gelaber und seltenst was konstruktives.
Zeig mir bei welchen Fakten ich falsch liege und erkläre es mir.
Oder kannst du das nicht?
Zum Vergrößern anklicken....
Bei welchen Fakten? Beim Thema cTDP hast du hinterm Mond gelebt und redest dich dann damit raus, dass du mich nur aufziehen wolltest. Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.
 
Zuletzt bearbeitet:
Ich will euch nicht stören, aber vielleicht habt Ihr ja nen kleinen Tip für mich. Ich würde auch gerne das neue Bios installieren, möcht aber nicht alles noch mal neu einstellen.Kann ich alle aktuellen Einstellungen sichern und dann unter dem neuen Bios einfach wieder aktivieren? Ich habe ein Asus Rog Strix z390-F gaming
 
Update einfach auslassen, da sinnlos.
Um von dem Problem betroffen zu sein, müßte jemand direkt an deinem PC sitzen und daran rumpfuschen.

Da spar ich mir diese nächste Bremse auch
 
fortunes schrieb:
Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren.
Zum Vergrößern anklicken....

Du hast doch was von speziellen Voraussetzungen gefaselt und ich habe dich daraufhin gefragt, welche das wären. Den Link hast du halt in diesem Zusammenhang schon öfters gebracht..


fortunes schrieb:
Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach.
Zum Vergrößern anklicken....

https://spectreattack.com/spectre.pdf

Du hättest es dir auch selber zusammensuchen können. Ich werde halt nachlässig, da ich nicht so wirklich Bock auf deinen Kindergarten hier oder anderen Threads habe...


fortunes schrieb:
Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.
Zum Vergrößern anklicken....

Oh und das von jemanden, der nachweislich lügt. :fresse:
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh