News CPU-Schwachstelle: Intel soll schon 2018 von Downfall gewusst haben

[coffee4free]

Die neu aufgedeckten CPU-Sicherheitslücken Downfall und Inception brachten Intel und AMD in diesem Sommer in Bedrängnis. Kläger aus den USA werfen Intel nun vor, schon im Jahr 2018 von Sicherheitsproblemen in Bezug auf den AVX-Befehlssatz gewusst zu haben, aus denen letztendlich Downfall hervorging.

Zur News: CPU-Schwachstelle: Intel soll schon 2018 von Downfall gewusst haben

 

[iNFECTED_pHILZ]

Nein! DOCH! Ohhhh…

Als ob das intern nicht bekannt war.
Hier wird irgendeine excel Tabelle aus dem Risk Management gesagt haben, dass es günstiger ist es unter den Tisch zu kehren. Wer hätte etwas anderes erwartet bei Intel ? Da gehts nur ums geld 😂

 

[Crifty]

Vom eigenen „Downfall“ oder von der Schwachstelle? *Satire

 

[Abrexxes]

Ich habe im Moment nur 4th und 12th gen am Start. Mist, nie hab ich Glück. /s

 

[MehlstaubtheCat]

Da drüber muss man keinen Aufstand machen!

Es gibt noch viele weitere "Fehler" im CPU Design, ob Intel oder AMD spielt keine Rolle.
Von vielen weiß man jetzt noch nichts und kommen eben in der Zukunft zum Vorschein.

Es ist unmöglich alle Sicherheitslücken/Schwachstellen zu schließen, von daher sehe ich das total entspannt.

 

[Stanzlinger]

Nur weil man über einen Fehler informiert wurde, muss man nicht sofort wissen, wie man ihn behebt. Hexen kann Intel auch nicht

 

[tstorm]

Nein! DOCH! Ohhhh…

Als ob das intern nicht bekannt war.
Hier wird irgendeine excel Tabelle aus dem Risk Management gesagt haben, dass es günstiger ist es unter den Tisch zu kehren. Wer hätte etwas anderes erwartet bei Intel ? Da gehts nur ums geld 😂

Klar... nur Intel handelt so.
Träumer.

 

[Schmarall]

Intel hat schon im August Microcode-Updates bereitgestellt, die die Schwachstelle beseitigen sollen. Das kostet jedoch Leistung: Der CPU-Hersteller selbst nennt Leistungsverluste von bis zu 50 Prozent.

Also spielt es nochmal Intel in die Karten, dass, mit einer nun langsamen CPU, die meisten wohl neu einkaufen gehen und Intel nochmal Geld in den Rachen werfen.

 

[Suspektan]

Soweit ich weiß lassen sich die fixes deaktivieren, für die meisten Privatnutzer wird die Schwachstelle wahrscheinlich kaum ein Risiko darstellen.

 

[Rukizz]

Zugriffe auf Passwörter. ich sehe das nicht so entspannt.

werden diese Fehler auch in Hardware behoben?

was ist eigentlich mit Spectre und Meltdown?

 

[iNFECTED_pHILZ]

Klar... nur Intel handelt so.
Träumer.

Steht das irgendwo so?
Viele Firmen gehen über Leichen. Fragwürdige Geschäftspraktiken gehören bei denen zum Alltag. Intel ist da nur eine Firma von vielen, ja.

Keks?

 

[J@kob2008]

Für die Sicherheit eines Rechners hat Netzwerkhardware zu sorgen, um alle möglichen Angriffe von außen abzuwehren. Wenn du aber dich so blöd angestellt hast und eine dubiose Datei im Anhang einer E-Mail geöffnet hast und somit Bösewicht in dein Haus reingelassen hast, dann wird er alles hacken können, auch deine Zahnbürste. Da kannst du dich bei Sicherheitsschwachstellen bis zum Tode suchen, er wird immer wieder neue Wege finden. Von daher, der beste Schutz wäre es, den Hacker / die Rate erst gar nicht reinlassen oder wenn doch schon geschehen, dann im Hause ausfindig machen, und aufpassen, dass er nicht an deine Hardware rankommt.

 

[Woody17]

Zugriffe auf Passwörter. ich sehe das nicht so entspannt.

werden diese Fehler auch in Hardware behoben?

was ist eigentlich mit Spectre und Meltdown?

Die musst du doch erst einmal als solche identifizieren. Das ganze klingt doch nach übelstem Rumgestocher in ein paar GB RAM. Keinen realistische Gefahr für Normalanwender und trotzdem bekommen alle den "Fix" übergeholfen und freuen sich noch darüber 🙈

 

[Knuddelbearli]

Da drüber muss man keinen Aufstand machen!

Es gibt noch viele weitere "Fehler" im CPU Design, ob Intel oder AMD spielt keine Rolle.
Von vielen weiß man jetzt noch nichts und kommen eben in der Zukunft zum Vorschein.

Es ist unmöglich alle Sicherheitslücken/Schwachstellen zu schließen, von daher sehe ich das total entspannt.

So ein Blödsinn... Intel wusste scheinbar seit 5 Jahren von dem Bug, als er dann öffentlich bekannt wurde, ging das fixen auch ganz schnell.

Für die Sicherheit eines Rechners hat Netzwerkhardware zu sorgen, um alle möglichen Angriffe von außen abzuwehren. Wenn du aber dich so blöd angestellt hast und eine dubiose Datei im Anhang einer E-Mail geöffnet hast und somit Bösewicht in dein Haus reingelassen hast, dann wird er alles hacken können, auch deine Zahnbürste

Auch das ist falsch, hast du die News überhaupt gelesen? Es geht darum das man in der Cloud auch außerhalb des eigenen Bereichs zugreifen /auslesen kann. Das hat nichts mit Malware direkt am Heim-PC zu tun. Sondern da mietet sich der Geheimdienst/Verbrecher einfach selber einen Platz auf der Cloud.

Nur weil man über einen Fehler informiert wurde, muss man nicht sofort wissen, wie man ihn behebt. Hexen kann Intel auch nicht

Komisch das es im August dann ganz schnell innerhalb weniger Tage/Wochen ging ...

 

[mae]

Soweit ich weiß lassen sich die fixes deaktivieren, für die meisten Privatnutzer wird die Schwachstelle wahrscheinlich kaum ein Risiko darstellen.

Der Fix fuer Downfall ist tatsaechlich einer (und nicht nur eine Unterstuetzung fuer Software-Mitigation). Der laesst sich m.W. nur abdrehen, indem Du die alte Firmware nimmst. Dafuer kostet er in den allermeisten Faellen auch kaum Leistung.

Ergänzung (11. November 2023)

was ist eigentlich mit Spectre und Meltdown?

Downfall ist ein Meltdown-artiger Hardware-Bug. Die urspruengliche Meltdown-Variante ist seit einigen Generationen tatsaechlich behoben, bei Spectre sagt Intel, dass sich die Software darum kuemmern soll. Das tut halt kaum einer, weil es entweder extrem teuer ist (allein Ultimative Speculative Load Hardening gegen Spectre v1 kostet einen Faktor 2.5, und da sind die ca. 5 anderen Luecken, die Intel noch nicht geschlossen hat, noch nicht "mitigiert"), oder extrem viel Programmieraufwand bedingt (und wenn sich der Programmierer in die falsche Richtung irrt, bleibt eine Luecke offen). Und dann gibt's halt immer die Leute, die verbreiten, dass man nichts zu befuerchten habe, weil die Luecke wen anderen angeht; das ist die beste Methode, etwas unsichtbar zu machen.

 

[TechFA]

Nur weil man über einen Fehler informiert wurde, muss man nicht sofort wissen, wie man ihn behebt. Hexen kann Intel auch nicht

Es geht da gar nicht um das Beheben von Defekten, sondern darum, daß Intel wiederholt in vorsätzlicher Weise ihren Veröffentlichungspflichten nicht nachkommt (Gewinnwarnungen entfallen, Serienfehler verschweigen etc.).

Als Aktienunternehmen hast Du eine strafbewehrte Pflicht zur Information und Veröffentlichung von entscheidenden Fakten gegenüber den Anlegern und dem Kapitalmarkt im Allgemeinen, die den Geschäftsablauf abrupt und/oder unvorhergesehen verändern können. Ob und inwieweit diese Informationen den Geschäftsablauf beeinträchtigen können, hast Du als Unternehmen (→ Kapitalgesellschaft) gar nicht zu entscheiden. Das entscheiden alle Anderen durch Investition oder Abzug ihrer geldwerten Einlagen.

Dazu gehören eben solche Informationen über Kenntnisse von Serien-Defekten (welche Schadensersatz-Klagen von Verbraucher- & Geschäftskunden nach sich ziehen können). Das sind Offenlegungspflichten!

Da drüber muss man keinen Aufstand machen!

Sollte man aber, weil es schlicht und ergreifend kriminell ist, sowas zu verschweigen!

Es gibt noch viele weitere "Fehler" im CPU Design, ob Intel oder AMD spielt keine Rolle.
Von vielen weiß man jetzt noch nichts und kommen eben in der Zukunft zum Vorschein.

Es ist unmöglich alle Sicherheitslücken/Schwachstellen zu schließen, von daher sehe ich das total entspannt.

Ist schon lustig mit anzusehen, daß Formulierungen dieser Art (sinngem.: "Fehler wird es immer geben!") schlagartig erst mit dem Aufkommen von Meltdown, Spectre, Foreshadow & Co (und den anderen Dutzenden Intel-Sicherheitslücken) aufseiten der Intel-Verfechter als Beschwichtigungsversuch Gang und Gäbe wurden.

Wenn AMD oder andere Hersteller zuvor Sicherheitslücken oder Defekten aufwiesen, wurde argumentiert, der Verein hätte die Qualitätssicherung nicht so dermaßen schleifen lassen sollen.
Heiligkeit zum Schein steht echt den Wenigsten! 😉

 

[Sapphire Fan]

Bin da iwie nicht ganz im Thema. Ein I7 10700f ist der betroffen? Woher weiß ich ob ich den leistungsschmälernden Patch installiert habe oder eben nicht? Kann ich das deinstallieren?

Gruß

 

[MehlstaubtheCat]

Na, so funktioniert das nicht!
Das ein Zusammenspiel von Bios-Updates und Windows Updates.
Warum geht man den Standardmäßig denn immer davon aus das es Leistung kosten "Muss"?
Und selbst wen es dann Leistung kosten "sollte"!
Geht Sicherheit nicht vor?,
Das wäre wohl die nächste Frage!

Btw, jeder Chip also CPU, GPU einfach alles, hat "Fehler", eine komplett Fehlerfreien Chip gibt es nicht.
Es ist nur die Frage ob der Fehler gefunden wird, oder gefunden werden sollte.

 

[AlphaKaninchen]

Spectre und Meltdown

Spectre wurde meines Wissens nie vollständig gefixt sondern nur so gut es ging die Ausnutzung erschwert (Wikipedia), Meltdown ist wohl gefixt.

Ergänzung (11. November 2023)

Geht Sicherheit nicht vor?,

Auf dem Gaming PC bzw Laptop, Nein warum? Wenn ich mir die Sicherheitslücken mancher Spiele anschaue sind die Fehler im CPU Design das kleinste Problem. Auf dem Tablet das konstant JavaScript auf X Beliebigen Webseiten ausführt, ist die Sichetheit hingegen wichtiger auf dem VM Host oder gar Cloud VServer sowieso.

Ergänzung (12. November 2023)

Zugriffe auf Passwörter. ich sehe das nicht so entspannt.

Da ist der fehlende Hinweis beim einfügen wahrscheinlich das größere Risiko, diese Lücken hier werden erst richtig Intressant wenn Dinge Isoliert sind z.B. JavaScript im Browser, Container oder Virtuelle Maschinen...

 

[TechFA]

Diese Lücken hier werden erst richtig Intressant wenn Dinge Isoliert sind z.B. JavaScript im Browser, Container oder Virtuelle Maschinen...

Ich finde es immer wieder amüsant, daß der Großteil immer so tut, als wenn der Normalo da draußen nicht ständig im Browser würde unterwegs sein oder virtuelle Maschinen betreiben. Das tut heute faktisch jeder Nutzer!

Weil Apps (statt Applikationen) basieren immer mehr ausschließlich auf JavaScript (Microsoft's unsägliches TypeScript; Node.js, Electron sowie alles andere JS-basierte; Discord, Teams, Office365 usw.), womit Browser faktisch in das Betriebssystem gewandert sind.

Weiterhin verwendet Microsoft selbst innerhalb von Windows seit einer Weile ihren Speicher-Schutz (→ Memory Integrity, also Einzel-Virtualisierung von Programmen/Sandbox), ihr Virtualization-based Security (→ VBS/ HVCI) oder Kopierschutz-Mechanismen (→ Denuvo) entsprechende Hardware-gestützte Virtualisierungs-Funktionen.

Das ist ja der Grund, weswegen die CPUs teils so hart bei aktivierten Funktionen einbrechen und Spiele mit entsprechendem Kopierschutz kaum aus dem Knick kommen.
Weil jede einzelne virtualisierte Instruktion bedarf prinzip-bdeingt eines dedizierten Sys-Calls, der über die Bande schlägt und einen Leistungsverlust zur Folge hat (Ring 0, Ring 1 usw.).