News CPU-Sicherheitslücken: Intel kämpft zum dritten Mal mit ZombieLoad

[Wadenbeisser]

Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

Fragt sich nur was in deinen Augen eine seriöse Quelle wäre. Eine die einem das sagt was man hören will?
Ist Sicherheit bei Intel Hardware nicht so wichtig damit man sie mit Warscheinlichkeitsrechnungen für hier und jetzt zerreden und damit die zukünftige Entwicklung ignorieren kann?

Eine Frage die ich an der Stelle immer wieder gern stelle......wie sähe die Argumentation das aus wenn statt Intel AMD die Probleme gehabt hätte?

 

[Volker]

Naja - bei AMD gibt es mit Sicherheit genauso Sicherheitslücken. Dauert halt möglicherweise bis da was "aufgedeckt" wird.

Klar gibt es die, doch war AMD im Profi-Markt die letzten Jahre quasi irrelevant, und dort zielen die meisten Sicherheitslücken ja drauf. Da investiert keiner Zeit und Geld, weil es sich nicht lohnt.
Ist wie mit Mac und Windows. Fast alles an Lücken gibts für Windows, was aber nicht heißt das Mac komplett sicher ist. Die Zielgruppe ist eben nur viel viel kleiner, also geht man immer zuerst zum großen.

 

[Cilo]

@Child

Solange muss AMD die Architektur aber auch erstmal reiten, wie Intel ihre geritten hat, bis da irgendwas gefunden wird. Das schlimme an den ganzen Lücken ist ja, dass die Patches/Fixes eben auch Endanwender treffen und das mehrheitlich und das Produkt eben in seiner Leistungsfähigkeit beschnitten wird.

Dem Sicherheitsaspekt tut es diesem (Privatanwender) eh nicht sonderlich viel, Unternehmen die aber Garantien abgeben schon viel eher. Vielleicht wo deine Daten gespeichert sind?

 

[modena.ch]

Bei AMD arbeiten auch nur Menschen, auch die Zen haben sicherlich Schwachstellen, die man zuerst aber finden muss. Das Sicherheitskonzept von AMD ist aber um Klassen besser, dass man es so einfach nicht ausnutzen kann.

Intels Core sind da einfach lächerlich, aber werden gekauft.

 

[Forum-Fraggle]

Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

Oder bashen wir einfach nur wie jedes mal 100 Kommentare unter diese Artikel und
bleiben ansonsten ahnungslos und im Bereich des gefährlichen Halbwissens?

Tatsache 1: Lücken werden gepatcht und PCs u.U. langsamer.
Tatsache 2: Intel achtet nicht wirklich auf Lücken, was ist also sonst noch offen?
Tatsache 3: Zombieload und Co sind vor allem bei Virtualisierung von Bedeutung. Ist man davon betroffen? Indirekt auf jeden Fall, da von jedem jede Menge Date, auf Servern liegen. Direkt? Vielleicht, da ist die Frage wie Prozeßvirtualisierung und Containernutzung etc auf dem heimischen PC funktioniert und betroffen ist.

Wenn die Lücken so leicht zu entdecken sind, aber es Jahrzehnte gedauert hat, bis Sicherheistexperten auf sie aufmerksam geworden sind, scheint aber nicht nur bei Intel dieses Thema nicht die allerhöchste Priorität gehabt zu haben.
Da scheint lange Zeit die ganze Branche geschlafen zu haben.

Es musste wohl erst jemand zufällig drüber stolpern und jetzt wo man weiß wohin man schauen muss, kommt eine Sicherheitslücke nach der anderen ans Tageslicht.

Damit ist aber natürlich spätestens jetzt Intel in der Pflicht, da auch selbst aktiv zu werden, nicht immer erst, wenn sie von außen mit der Nase drauf gestoßen werden.

Mit dieser Logik bräuchte man keine FW oder AV-Software, gibt ja genügend Fachleute, die das analysieren. Die müssen schneller sein als Kriminelle. Problem hier ist, das Grunsprinzip der Lücke ist bekannt, von dieser ist es leichter aus neue zu finden. Je mehr ws gibt, desto höher die Wahrscheinlichkeit daß Fachleute und Kriminelle andere Bereich absuchen. Z.B. bildlich am Quellcode: die einen fangen am Anfang an, die anderen gehen rückwärts uns die nächsten gehen zufällige Stellen im Code an.

Das sind theoretische Lücken die man erst ausnutzen kann wenn man Zugang hat, man muss sich erst Zugang zum PC bzw. ins network eindringen um die Lücke auszunutzen. Aber vermutlich kein Hacker der Welt der bereits Zugang zum PC hat wird anschließend noch irgendwelche CPU seitigen Lücken ausnutzen. Erstens viel zu Komplex und zweitens lohnt es sich nicht und drittens können das nur eine handvoll von Menschen, wovon die Hälfte bestimmt auch selbst vom Staat beobachtet wird.

Anders kann es vielleicht bei großen Unternehmen aussehen aber für uns normalos sind diese Sicherheitslücken nicht relevant.

Im Grunde hat jeder Microchip irgendwelche Lücken, wenn man ihn lange genug analysiert wird man auch immer mehr finden.
Sicherheitslücken zu finden bringt in erster Linie ein Haufen Asche, man sollte sich als Normalo deswegen nicht verrückt machen.

Ich will die Lücken keines Wegs schön reden, eher im Gegenteil.
Da jede Lücke die man Software seitig schließt am ende für uns Leistung kostet, finde ich es von Intel eine Frechheit diese nicht HW-seitig zu fixen, zumal Intel immer Monate vorm veröffentlichen der Lücke Bescheid weiß/wusste.

Du redest die Lücke aber klein und vergißt, wie sehr jeder von uns von Serverlücken betroffen ist ohne daß der heimische PC in Gefahr sein muß. Weiter ist das Verhalten von Intel Wahnsinn. Welche Vermutungen sind möglich in Bezug auf das Verhalten anderer Lücken? Wenn z.B. eine Bank die Filliale offen stehen läßt ohne Wachpersonal, vertraue ich dann der Tresortechnik, die sie nutzen?

 

[Holindarn]

is doch klar warum Intel keine Finger mehr rührt, die haben gemerkt das es absolut keinen Unterschied macht
ob man sich Gedanken macht um die Sicherheitslücken zu schließen oder nicht.

Die Masse kauft doch trotzdem Intel, Rekordumsatz und so ne..., da kann man sich die Mühe und Kohle für die Suche auch sparen...

 

[Forum-Fraggle]

@Child

Solange muss AMD die Architektur aber auch erstmal reiten, wie Intel ihre geritten hat, bis da irgendwas gefunden wird. Das schlimme an den ganzen Lücken ist ja, dass die Patches/Fixes eben auch Endanwender treffen und das mehrheitlich und das Produkt eben in seiner Leistungsfähigkeit beschnitten wird.

Dem Sicherheitsaspekt tut es diesem (Privatanwender) eh nicht sonderlich viel, Unternehmen die aber Garantien abgeben schon viel eher. Vielleicht wo deine Daten gespeichert sind?

Nö, das wird analog auch bei denen geprüft, deswegen findet man ja auch mnimale Möglichkeiten in manchen Fällen.

 

[TechFA]

"Erneut gibt es von den Forschern Kritik an Intel, während sich der Konzern einmal mehr vornehmlich selbst lobt, Updates für die Probleme aber erst für die nahe Zukunft in Aussicht stellt. Die Forscher werfen Intel vor, immer erst darauf zu warten, bis jemand ein Konzept erarbeitet hat, dass die Lücke ein Problem sein könnte und dann erst reagiert."

Da scheint Intel sehr dilettantisch in Sachen Sicherheit vor zu gehen. Den Leuten verkaufen die aber was ganz anderes.

Dilettantisch bedeutet sowas wie unprofessionell, laienhaft oder unfachmännisch. Ist aber so, dass Intel hier wie so oft jede Lücke runterspielt und Nachforschungen verschleppt und behindert und Leute lieber zum schweigen bringt (Holländische UNi, wo sie versucht haben zu bestechen), weil sie ganz genau wissen, das da noch viel mehr wartet und ihre Architektur tatsächlich total löchrig ist. Nicht den Fehler machen, Intel Unwissenheit zu unterstellen, Intel wusste das alles und hats fahrlässig in Kauf genommen!

Sie geben eben nur das widerwillig zu, was ohnehin gefunden wurde.

Derjenige-welche hat jahrelang für Centaur-Technology gearbeitet, der Prozessor-Schmiede hinter VIA (Cyrix). Er kennt sich also aus und ist vom Fach – und gewusst hat Jeder davon, der es wahrhaben wollte;

As someone who worked in an Intel Validation group for SOCs until mid-2014 or so I can tell you, yes, you will see more CPU bugs from Intel than you have in the past from the post-FDIV-bug era until recently.
Why?
Let me set the scene: It's late in 2013. Intel is frantic about losing the mobile CPU wars to ARM. Meetings with all the validation groups. Head honcho in charge of Validation says something to the effect of: "We need to move faster. Validation at Intel is taking much longer than it does for our competition. We need to do whatever we can to reduce those times... we can't live forever in the shadow of the early 90's FDIV bug, we need to move on. Our competition is moving much faster than we are" - I'm paraphrasing.
Many of the engineers in the room could remember the FDIV bug and the ensuing problems caused for Intel 20 years prior. Many of us were aghast that someone highly placed would suggest we needed to cut corners in validation - that wasn't explicitly said, of course, but that was the implicit message. That meeting there in late 2013 signaled a sea change at Intel to many of us who were there. And it didn't seem like it was going to be a good kind of sea change. Some of us chose to get out while the getting was good.
As someone who worked in an Intel Validation group for SOCs until mid-2014 or so I can tell you, yes, you will see more CPU bugs from Intel than you have in the past from the post-FDIV-bug era until recently.

We Saw Some Really Bad Intel CPU Bugs in 2015, and We Should Expect to See More in the Future

Der Kommentar war von 2016, der Insider verließ 2014 Intel. Jeder wusste was kommt. Einer hats hier ganz gut erklärt, mit Quellen!

… weiß TechFA

 

[Karl S.]

Es ist doch völlig egal bei welchem Hersteller mehr oder weniger Sicherheitslücken bestehen, wer von uns kann das schon korrekt einschätzen?
Viel wichtiger ist der Umgang beider Unternehmen mit diesen Sicherheitslücken. Keine Ahnung ob AMD gewissenhafter mit dem Thema Sicherheit umgeht, aber das was Intel macht ist einem Unternehmen dieser Rangordnung nicht würdig. Das ist der eigentliche Skandal, der das Vertrauen von Unternehmen gegenüber Intel nachhaltig schaden sollte, hoffentlich.

 

[Heschel]

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

Es geht nicht um Heimanwender, sondern um Server. Sind Sie bei ebay, Amazon und Co. angemeldet?

 

[Ned Flanders]

Da investiert keiner Zeit und Geld, weil es sich nicht lohnt.

In wie fern lohnt sich denn akademische Forschung zu einem solchen Sicherheitsproblem für die Forscher? Deren Arbeit ist das Finden von Sicherheitsrisiken und dazu müssen diese nicht den Großteil des Marktes ausmachen. Das ist ja kein Bountyhunting auf Intel.

Was mich hat aufhorchen lassen war die Story bei Meltdown, wo Intel spekulative Ausführung über Rechtegrenzen hinweg erlaubt (das macht sonst afaik keiner, weder ARM, noch AMD, noch Power etc.) Das zeugt schon von mangelhafter Sicherheitskultur. Und bei HT vs SMT zieht sich das ja fort. Und irgendwie ist ja auch genau das, was die Forscher bemängeln. Die Sicherheitskultur entspricht einer Salamitaktik.

 

[Schnitz]

Ist wie mit Mac und Windows.

Würde ich jetzt nicht gegenüberstellen. Allen das Rechtemanagement von Windows ist schon Error-by-design. Die ganzen DAUs die grundsätzlich mit Adminrechten unterwegs sind usw.

Vom problematischen Kernel will ich nicht anfangen, da ist noch genug Windows NT drin.

AMD hat schon mit Zen+ im Post-Spectre-Meltdown Zeitalter ohnehin nachgebessert. Auch mit ihrem streben in den Servermarkt haben sie eine höhere Qualtitätskontrolle im Berich Sicherheit eingerichtet.

Intel scheint die ganze Problematik hingegen nicht so richtig durchdrungen zu haben.

 

[Discovery_1]

Deren Team scheint wohl mehr damit beschäftigt verzweifelt bei AMD neue Fehler zu finden, als eigene zu fixen.

Dem Konkurrenten die Fehler aufzeigen ist völlig normal. Aber Intel macht sich (leider) im Moment in fast allen Bereichen nur noch lächerlich und ich staune trotzdem über die "Rekordzahlen" beim Konzern. Irgendwie läuft doch irgend etwas falsch in der Welt.

 

[Müritzer]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.

 

[HaZweiOh]

Da scheint Intel sehr dellitantisch in Sachen Sicherheit vor zu gehen. Den Leuten verkaufen die aber was ganz anderes.

Richtig! Und das war von Anfang an so, auch schon bei Spectre und Meltdown. Intel wusste viele Monate Bescheid und hat nichts getan. Das Problem sitzt bei Intel tiefer.

 

[Discovery_1]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen

Aber sie tun zumindest freiwillig etwas gegen die Sicherheitslücken. Intel wartet ja meistens darauf, bis jemand darauf aufmerksam macht.

 

[Heschel]

Bei den ständig neuen Lücken stellt sich die Frage, inwieweit die zuständige Person/-en im Unternehmen noch eine Intel-CPU verbauen kann/können, ohne selbst straffällig zu werden.

 

[IBISXI]

Klar gibt es die, doch war AMD im Profi-Markt die letzten Jahre quasi irrelevant, und dort zielen die meisten Sicherheitslücken ja drauf.

Lohnen kann es sich nur für diejenigen die Lücken nutzen.
Die meisten Sicheheitslücken bei Intel wurden soweit ich weiß von Universitäten aufgedeckt.

Soweit ich das verstanden habe ist bei Intel die Architektur für einen großen Teil der Lücken verantwortlich. Besonders HT.

Wenn man etwas baut, egal was, kann man meist zwischen Sicherheit und Leistung wählen.

Ich denke das AMD hier einen besseren Job gemacht hat.
Oder täusche ich mich da?

 

[Müritzer]

@Discovery_1

Wenn aber die alten Treiber nicht auch gepatcht werden ist das auch nicht gut. Vor allem sollten die Verbraucher auf solche wichtigen Änderungen hingewiesen werden.

 

[Holindarn]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.

Kannst du das mal genauer ausführen, ich sehe jetzt unter den Fixed Issues nichts, für mich, sicherheitsrelevantes... ?