News Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

[DaZpoon]

Im Gegensatz zu bspw. Heise hat CB hier mal richtig gehandelt und abgewartet, wobei die Täter wohl dennoch erreicht haben was sie wollten.

Die Lücken werden existieren bzw. waren die mehr oder weniger schon bekannt. Jedoch weitaus undramatischer als dargestellt und kein Vergleich zu Meltdown/Spectre. Hier braucht man Root-Rechte um was zu erlangen. Hat man die, ist eh alles verloren.

 

[Piter73]

Ist doch bei Linux nicht viel anders, wenn man root rechte hat, da kann man auch das ganze System zerhacken

War nur ein Beispiel ;-)

@Mafiosi: FSecure meint, es will den ersten Link nicht öffnen, da eine schädliche Seite...

 

[Alphanerd]

3 Sachen:
Ich liebe Torvalds direkte Art und Sprache.
Hat Intel (wer sonst?) das wirklich nötig?
Toll aufgearbeitet von CB!

Edit:

ich schätze das schmierentheater kommt aus dem finanzsektor - für intel ist das ne nummer zu dilettantisch.

Anders herum. Das ist für die Finanzwirtschaft zu dilettantisch. Aber für die Firma, die Intel engagiert hat wg Spectre/meltdowen?

 

[o.Sleepwalker.o]

Was ich an der Sache hier am witzigsten finde, ist ,dass viele Leute sich gegen die haltlosen Anschuldigungen gegen AMD aufregen. Im selben Moment werden dann allerdings gleich Intel/Nvidia (oder irgend einer, der einem grade nicht so gut gefällt) haltlos beschuldigt dies inszeniert zu haben.

 

[Diablokiller999]

Im selben Moment werden dann allerdings gleich Intel/Nvidia (oder irgend einer, der einem grade nicht so gut gefällt) haltlos beschuldigt dies inszeniert zu haben.

Cui Bono Verhalten
Aber wie ich schon sagte, nach dem Engagieren von PR-Leuten und der Dell-Aussage hat das Ganze ein Geschmäckle
Die Strategie würde eigentlich auch Sinn ergeben, weg diskutieren kann man die Lücken nicht, da wäre Whataboutism wohl die nächst gelegene Idee

 

[cc0dykid]

Ich habe das Amdflaws Whitepaper gelesen. Das liest sich wie eine Präsentation von Apple. Aufgebauscht und oberflächlich. Auf Seite 3 wird in den Fußnoten als Quelle AMD's eigene PR Paper genannt. Hat überhaupt keine Relevanz. Nur um ein Beispiel zu nennen.
So ein Whitepaper zu veröffentlichen mit der Begründung, man wolle die Endkunden zu schützen ist so falsch. Wer von den Endkunden liest sich so etwas durch? Wer von den Endkunden versteht es auch?
Die richtige Vorgehensweise wäre, AMD diskret über die Lücken zu informieren und relevante Informationen zukommen zu lassen. Da wäre doch allen geholfen.
Ansonsten schließe ich mich Torvald an. Das ist nichts anderes als attention whoring.

 

[aldaric]

Laut diesen Tweets soll es die Sicherheitslücken wirklich geben:

Hast du auch mal die Antworten darauf gelesen?

Er wird dort eigentlich ausgelacht.

"Oh if i change my bios to an evil bios, bad things can happen..NO WAY"

Naja, so wie ich das noch in erinnerung habe ist es AMD gewesen, die bei Spectre mit ihrer mangelnden Kommunikationspolitik geglänzt haben, während Intel eigentlich immer ganz gut informiert hat.

Da hast du es ein wenig falsch in Erinnerung. Deine gebashe ist mittlerweile unerträglich. Du behauptest auch immer noch AMD hätte "zurückgerudert" dabei stand die Aussage von Anfang an immer gleich dort drin "near zero risk".

 

[noxon]

Und welche finanziellen Interessen haben diese "unabhängigen" "Experten"?...

Im ersten Satz des Blog-Eintrag steht es: "We have just received a report". "Just" - gerade eben.

Lustig, wie selectiv man hier den einzelnen Partien vertraut.
Sicherheitsexperten wird die unabhängig grundlos in Anführungsstrichen gesetzt, während AMDs Aussagen einfach so geglaubt, bloß weil die es so sagen.


@Alle alle anderen die hier so sehr auf dem Near Zero Risk herumreiten:

Ihr wisst schon, dass es keine absolute Sicherheit gibt. Jeder Hersteller, der behauptet hätte, dass es absolut kein Risiko geben würde, wäre ein Lügner gewesen.
Ich kann auch nur mit Near Zero certainty behaupten, dass es keinen Gott gibt, obwohl ich Atheist bin. Man kann ein Null-Risiko nicht beweisen, genau wie man die Nichtexistenz von Gott nicht beweisen kann.
Near-Zero bedeutet in Wahrheit also gleich Zero. AMD hat damit also behauptet, dass es kein realistisches Risiko bezüglich aller drei Lücken für ihre Prozessoren geben würde und aus genau diesem Grund sind nach dieser Meldung auch AMDs Aktienkurse gestiegen währed Intels weiterhin gefallen sind.

Wenn von euch einer einen Prozessor mit Zero-Risk Potenzial entwickelt, der heute und bis in alle Ewigkeit unangreifbar sein wird, dann lasst ihn euch bitte patentieren. Der ist mehr Wert als alles andere auf der Welt.

 

[Dai6oro]

Was ich an der Sache hier am witzigsten finde, ist ,dass viele Leute sich gegen die haltlosen Anschuldigungen gegen AMD aufregen. Im selben Moment werden dann allerdings gleich Intel/Nvidia (oder irgend einer, der einem grade nicht so gut gefällt) haltlos beschuldigt dies inszeniert zu haben.

Den Ruf der Skrupellosigkeit hat sich Intel allerdings selbst erarbeitet, es ist also kein Wunder, dass die Leute Intel das zutrauen. Hätte Intel in der Vergangenheit nicht belogen, betrogen, geschmiert etc. würden die Leute auch nicht darauf kommen, dass sie involviert wären.

@Noxon
Lass es einfach. AMD hat von Anfang an genau das gesagt, was sie später in anderer Form noch einmal gesagt haben. Es gab keine Diskrepanz in den Aussagen.

 

[Jesterfox]

@noxon:

Did you notify AMD only 24 hours before the publication?

Yes, we sent full details about the vulnerabilities to AMD, Microsoft, HP, Dell, and select vendors 24-hours before announcing them to the public.

Quelle: https://www.amdflaws.com/


Edit: Als Ergänzung: https://www.golem.de/news/ryzenfall...-eigene-disclosure-strategie-1803-133348.html

 

[noxon]

@Noxon
Lass es einfach. AMD hat von Anfang an genau das gesagt, was sie später in anderer Form noch einmal gesagt haben. Es gab keine Diskrepanz in den Aussagen.

Also angeblich hat AMD seien Aussagen bezüglich Spectre 2 aktualisiert.

Prozessoren doch von Spectre 2 betroffen
Heise erfindet das doch nicht und ich wette wenn ich die Waybackback-Machine bemühen würde, dann würde ich die Diskrepanz auch auf AMDs Seiten wiederfinden.

Wenn man jetzt bedenkt, dass AMD über die Lücken schon Monate im Vorraus Bescheid wusste, dann stellt sich schon die Frage, warum sie das nicht schon vorher wussten, sondern das erst in den wenigen Tagen nach dem Leak festgestellt haben. Merkwürdiges Timing.
Das bedeutet entweder, dass sie es anfangs absichtlich nicht verraten haben oder das sie die ganzen Monate zuvor nicht wirklich an dem Problem gearbeitet haben und es tatsächlich nciht wussten.

 

[Jesterfox]

Heise labert in letzter Zeit leider viel Scheiß wenn der Tag lang ist... aber ja: AMD hat das aktualisiert, aber nicht von kein Risiko auf doch eines sondern von kaum Risiko zu kaum Risiko und der Aussicht auf UEFI-Updates.


Edit: und ja, das kann man auch bei Heise rauslesen, wenn man denn nur weiter kommt als die beschissene Überschrift.

 

[aldaric]

Keine Ahnung wieso noxon hier weiterhin felsenfest irgendwelche Dinge behauptet um die Diskussion in Richtung "AMD Bashing" zu lenken.

Muss das denn wirklich sein? Reicht es nicht das dir schon x-Leute gezeigt haben das du falsch liegst ?

Heise's Überschrift ist natürlich ein Clickbait-Titel und impliziert eine falsche Annahme, aber wenn man dann mal die Informationen zusammenträgt muss man doch feststellen, dass man einfach falsch liegt und dies akzeptieren sollte.

 

[Justuz]

Das ist aber ganz schön 3st von Intel das man 180Tage gewartet hat bis man sagt das man ein Sicherheitsrisiko hat, wenn Intel 180 Tage gewartet hat, frag ich mich was hat Intel in der Zeit gemacht? An einem fix mit einem reibungslosen ablauf hat Intel scheinbar nicht gearbeitet.

Als Intel kunde würde ich mir ganz schön verarscht vorgekommen, da kauft man sich ein Produkt und der Hersteller verschweigt dir einfach die Sicherheitslücken. Das ist doch Betrug!

 

[noxon]

Keine Ahnung wieso noxon hier weiterhin felsenfest irgendwelche Dinge behauptet um die Diskussion in Richtung "AMD Bashing" zu lenken.

Liegt vielleicht daran, dass ich mehr als nur Überschriften lese, bevor ich mir ein Urteil bilde.

Aber ich weiß schon. Heise ist Kacke, weil es sich auf reine Fakten beschränkt und keine AMD Bauchpinselei betreibt.

BTW: Es ist nicht so, als ob ich Heise lieben würde. In meinem aller ersten Beitrag in diesem Thread war es ja genau Heise die ich wegen ihres AMD-Berichts kritisiert habe.

 

[aldaric]

Fakt ist aber, du argumentierst mit einer Überschrift welche einfach nur Clickbait ist. Dir wurde sogar der Link gepostet indem AMD bestätigt das ihre Aussage gleich bleibt.

Near zero risk bleibt near zero risk. Die einzige Änderung kam, als sie optionale Microcode Updates mit aufgenommen haben.

Hier geht es nicht um Bauchpinseln, sondern das du Dinge komplett verdrehst. Hättest du die Artikel wirklich gelesen, würdest du deine alternativen Fakten hier nicht so unbedarft präsentieren, denn du wüsstest das sie falsch sind.

 

[>_<]

Jahrelang hört man nichts von CPU-Sicherheitslücken und plötzlich erscheint eine Meldung nach der anderen. Ich warte mit dem CPU-Kauf vorerst ab.

 

[Jesterfox]

Aber ich weiß schon. Heise ist Kacke, weil es sich auf reine Fakten beschränkt und keine AMD Bauchpinselei betreibt.

Die Fakten die Heise selbst im Artikel erwähnt widersprechen ihrem eigenen Artikel!

Aber ich seh schon das bringt nix... fühl dich wohl bei den anderen Trollen in meiner Ignorlist... sonst reg ich mich hier nur viel zu sehr unnütz auf.

PS: auch wenn du mir es wohl nicht glauben wirst, aber AMD Lobhudler die Fakten ignorieren wirst du da genauso finden ;-)

 

[tokad]

Hier gibt es auch eine gute Zusammenfassung (falls nicht schon gepostet): https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond

Wie dort geschrieben steht, sind das Stufe 2 Sicherheitslücken, die einen Adminzugriff erfordern. Das muss der Angreifer erst mal haben. Weiters kompromitierung des Bootloaders vom ARM Security Prozessor oder BIOS Reflash durch den Angreifer... Klingt nach nicht alltäglichen Möglichkeiten für einen Angreifer. Die Sicherheitslücken mögen schwerwiegend sein, aber mit diesen Voraussetzungen kann man das wahrscheinlich überall haben.

Erachte das als gezielte Schmutzkübelkampagne gegen AMD. Ich hoffe, dass das ein gerichtliches Nachspiel bzgl. Rufschädigung hat.

 

[gustlegga]

Irgendwas muss mit der Forumsoftware nicht zu stimmen.
Es scheint als ob hier die Beiträge aus der Datenbank mit den immer wieder gleichen Meltdown/Spectre "near zero" Posts aus den jeweiligen Threads durcheinander kommen.