ComputerBase Menü
Aktuelles

News CPU-Sicherheitslücken: Intel kämpft zum dritten Mal mit ZombieLoad

borizb schrieb:
Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

Oder bashen wir einfach nur wie jedes mal 100 Kommentare unter diese Artikel und
bleiben ansonsten ahnungslos und im Bereich des gefährlichen Halbwissens?
Zum Vergrößern anklicken....
Häschen schrieb:
Das sind theoretische Lücken die man erst ausnutzen kann wenn man Zugang hat, man muss sich erst Zugang zum PC bzw. ins network eindringen um die Lücke auszunutzen. Aber vermutlich kein Hacker der Welt der bereits Zugang zum PC hat wird anschließend noch irgendwelche CPU seitigen Lücken ausnutzen. Erstens viel zu Komplex und zweitens lohnt es sich nicht und drittens können das nur eine handvoll von Menschen, wovon die Hälfte bestimmt auch selbst vom Staat beobachtet wird.

Anders kann es vielleicht bei großen Unternehmen aussehen aber für uns normalos sind diese Sicherheitslücken nicht relevant.

Im Grunde hat jeder Microchip irgendwelche Lücken, wenn man ihn lange genug analysiert wird man auch immer mehr finden.
Sicherheitslücken zu finden bringt in erster Linie ein Haufen Asche, man sollte sich als Normalo deswegen nicht verrückt machen.

Ich will die Lücken keines Wegs schön reden, eher im Gegenteil.
Da jede Lücke die man Software seitig schließt am ende für uns Leistung kostet, finde ich es von Intel eine Frechheit diese nicht HW-seitig zu fixen, zumal Intel immer Monate vorm veröffentlichen der Lücke Bescheid weiß/wusste.
Zum Vergrößern anklicken....
Das sind oft keine "theoretische Lücken" und man braucht keinen physischen Zugang zum PC. Einfach mal den Wikipedia Artikel lesen: https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability) schrieb:
Two Common Vulnerabilities and Exposures IDs related to Spectre, CVE-2017-5753 (bounds check bypass, Spectre-V1, Spectre 1.0) and CVE-2017-5715 (branch target injection, Spectre-V2), have been issued. JIT engines used for JavaScript were found to be vulnerable. A website can read data stored in the browser for another website, or the browser's memory itself.[8]
Zum Vergrößern anklicken....

Oder auf deutsch:
https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke) schrieb:
Bei einem Angriff lässt man bestimmte vom Angreifer eingebrachte Befehle spekulativ ausführen, z. B. durch Return Oriented Programming unter Ausnutzung eines Pufferüberlaufs oder mit einem vom Angreifer bereitgestellten und vom Benutzer ausgeführten Programm (z. B. in einer interpretierten Skriptsprachen wie JavaScript). Hierbei kann die Spectre-Lücke ausgenutzt werden, um Informationen aus dem Adressraum des ausführenden Interpreters, wie bspw. des Webbrowsers, zu extrahieren. Dabei kann ein Angreifer über ein von einem Webserver geladenes bösartiges JavaScript Passworte aus dem Passwortspeicher des Webbrowsers auslesen.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: peru3232 und Baal Netbeck
IBISXI schrieb:
Ich denke das AMD hier einen besseren Job gemacht hat.
Oder täusche ich mich da?
Zum Vergrößern anklicken....
Das ist schwierig zu sagen. Ich schätze Intel steht aufgrund des viel größere Markanteils einfach unter viel größerer Beobachtung.
Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.
Objektiv betrachtet lief bei AMD treiberseitig z.B. die letzten Jahre immer mal wieder was ordentlich schief daher kann die Qualitätskontrolle noch nicht einwandfrei sein. Wer weis welche Fehler sich da noch so im Hintergrund tummeln.
 
Müritzer schrieb:
AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.
Zum Vergrößern anklicken....

Ist ja auch richtig so. AMD hat Sicherheitslücken gefunden und per Treiber gefixt. Öffentlich wird man das doch nicht machen, aus dem Grund da viele Leute auf den alten Treibern sitzen und nicht ständig ihre Software updaten. Das wären alles potenzielle Opfer.

Das Problem bei Intel ist ja eher, dass sie Lücken mitgeteilt bekommen von Forschern und erstmal gar nichts machen. Erst nach der 6-Monats Frist wird dann halt Zähneknirschend ein Fix angekündigt.

Wenn Intel selbst Lücken findet und sie fixt, bedarf es auch keiner Kommunikation nach außen.
 
  • Gefällt mir
Reaktionen: Argoth, eXe777, Rangerkiller1 und 8 andere
@Müritzer
Danke, das wird in den Release Notes nicht erwähnt, was erst mal unschön ist...
aber wenigstens wird was dagegen gemacht.
 
Müritzer schrieb:
Wenn aber die alten Treiber nicht auch gepatcht werden ist das auch nicht gut. Vor allem sollten die Verbraucher auf solche wichtigen Änderungen hingewiesen werden.
Zum Vergrößern anklicken....

Vollkommener Unsinn.

Was nützt es, wenn man alte Treiber patcht? Installierst Du alte Grafikkarten-Treiber? Wohl eher nicht. Das einzige, was Du richtig sagst ist, dass man auf das besser hinweisen muss. Ansonsten:

https://www.amd.com/de/corporate/product-security

Fazit: Es wurde hingewiesen - wäre aber besser, wenn es bei den Änderungs-Notes gewesen wäre.
 
Müritzer schrieb:
AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.
Zum Vergrößern anklicken....
Die Sicherheitslücken betreffen Nutzer, die so eine GPU in einer VM laufen haben. Da bestand die Möglichkeit, die VM zu crashen bzw. Code auf dem Host auszuführen.
 
  • Gefällt mir
Reaktionen: Holindarn
richtig,
für ein einzelnes System, also dem typischen Gamer, ist das erstmal unkritisch ^^
 
fulgent schrieb:
Gibt es irgendeine Prognose ab welcher CPU Generation diese Probleme im Chip behoben sind?
Zum Vergrößern anklicken....
Alles was Core 2 und älter ist :p
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Rangerkiller1
@Heschel

Was die alten Treiber betrifft, wie oft musste man jetzt lesen das Leute mit den neuen Treibern Probleme haben. Die installieren wieder die alten. Ich schaue nicht regelmäßig in die Produkt Security Seite nach, wer macht das schon. Die Release Notes lesen die meisten und auch hier im Forum wird über die diskutiert.

@ottoman

Für den normalen Gamer ist sowas vielleicht nicht so wichtig, aber wenn Leute was finden wird verstärkt in diese Richtung gesucht. Jede geschlossene Lücke ist gut aber sowas muss auch immer offen gelegt werden. Die Hersteller brauchten sonst ja nicht mehr zu schreiben was alles geändert wurde. Die Leute werden schon merken wenn es besser läuft oder auch nicht.
 
borizb schrieb:
Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?
Zum Vergrößern anklicken....
oder durch die dummheit der user irgendwas von irgendwo im internet runterzuladen, bzw auf irgendwelche dubiosen seiten rumzusurfen. aktuell würde ich nicht soviel panik schieben.. ist wie mit dem china virus, SARS, Schweinegrippe, Vogelgrippe oder sonst was.. Panik hat noch zu nichts geführt, außer zu unüberlegten handlungen. siehe "euro 5 diesel verkaufen MÜSSEN für einen lächerlich niedrigen preis"
 
Müritzer schrieb:
AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.
Zum Vergrößern anklicken....

Das betrifft ja dann auch nur den Anwender selbst. Die Intel Lücken auf Server CPU´s betreffen quasi jeden. Schön ist es auch nicht, aber nicht annähernd so relevant wie Zombieload.
 
fulgent schrieb:
Gibt es irgendeine Prognose ab welcher CPU Generation diese Probleme im Chip behoben sind?
Zum Vergrößern anklicken....
Behoben... nun:

Meltdown und Spectre betrifft die Out-of-Order Architektur direkt, betrifft also so gut wie alle Intel CPUs ab dem Pentium Pro von 1995.
Nicht betroffen sind nur die Intel Atom CPUs der ersten Generation und CPUs mit Itanium-Architektur.

Alle darauf folgenden Derivate sind Abwandlungen von den ursprünglich gefundenen Lücken Meltdown und Spectre.
Wobei diese nicht eine einzelne Lücke beschreiben, sondern eine ganze Reihe Lücken, die letztlich auf die gleiche Ursache zurückzuführen sind.

Hey, die Lücke kann man auch auf eine andere Weise ausnutzen, lass uns dieser Variante einen neuen, martialisch klingenden Namen geben...

Diese Sicherheitslücken kann man nur schließen, indem man die Funktionalität dessen was man mit Out-of-Order meint beschränkt oder komplett abschaltet.
Damit geht zwangsläufig ein Leistungsverlust einher! Je nach Art der Lücke und des Patches mal mehr, mal weniger.
Ein Patch besteht aus einem angepassten Microcode, also der Firmware der CPUs, der entweder über eine aktuelle BIOS-Version oder beim Betriebssystemstart in die CPU geladen wird.

Intel hat diese Lücken sicher nicht bewusst aufgerissen, aber auf der Suche nach einer weiteren Leistungssteigerung vielleicht nicht genau genug hingesehen.
Neue CPU-Generationen können dieses Patches bereits in Hardware beinhalten, sei es tatsächlich eine angepasste Schaltung oder ein bereits ab Werk gepatchter Microcode.

Mit manchen dieser Lücken hat auch AMD zu kämpfen. Aber in weit geringerem Umfang.
Weil sie eine andere Architektur nutzen.
Und - das muss man auch feststellen - weil man bei Intel genauer hinsieht als bei AMD.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: fulgent
Xes schrieb:
Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.
Zum Vergrößern anklicken....

Das wird bei jeder neuen Lücke gemacht.
Bisher meist erfolglos.
AMD hat eine ganz andere Architektur und Sicherheitsstruktur.
 
Ardadamarda schrieb:
Der hat uns erzählt das die Lizenzen quasi von den Cores der CPU abhängen. Je mehr Cores umso teurer wird es.
Und jetzt kommt der Hammer! Sagt er er doch tatsächlich: Bei Intel CPUs gibts 50% Rabatt!
Zum Vergrößern anklicken....
Und weißt Du, was noch der Hammer ist? Bei AMD CPUs gibts auch 50% Rabatt! Und bei Sparc T3-Prozessoren sogar 75% Rabatt!!!

Erst lesen, dann lästern:
Oracle Core Factor Table

Ich hoffe, ihr arbeitet in eurem Job nicht immer so oberflächlich.
 
  • Gefällt mir
Reaktionen: Hunky, Jurial, McTheRipper und eine weitere Person
FatFire schrieb:
Und weißt Du, was noch der Hammer ist? Bei AMD CPUs gibts auch 50% Rabatt! Und bei Sparc T3-Prozessoren sogar 75% Rabatt!!!

Erst lesen, dann lästern:
Oracle Core Factor Table

Ich hoffe, ihr arbeitet in eurem Job nicht immer so oberflächlich.
Zum Vergrößern anklicken....

Interessant, war mir nicht bewusst.
Schon komisch aber das er der nette Oracle Herr das nicht erwähnt hat.
Gut, was soll ich sagen, letzendlich kümmert sich die IT um die Beschaffung der Hardware wir können nur aus einem vorgegeben Pool auswählen.
 
  • Gefällt mir
Reaktionen: Jurial, Rangerkiller1 und McTheRipper
borizb schrieb:
Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?
Zum Vergrößern anklicken....

Auf Basis welcher Daten soll es so einen Artikel geben?

Es ist oft nicht nachvollziehbar welche Lücken im System einen Angriff ermöglichten und die Angreifer werden wohl auch keinen Blogpost darüber schreiben.
Zudem machen meistens geschädigte Unternehmen erfolgreiche Angriffe nicht öffentlich. Also wie sollen solche Artikel entstehen?

Eine bestehende Lücke wird nicht durch fehlende öffentlich zugängliche Dokumentation von stattgefundenen Angriffen in irgendeiner Weise weniger schlimm.
 
  • Gefällt mir
Reaktionen: TechFA
Xes schrieb:
Das ist schwierig zu sagen. Ich schätze Intel steht aufgrund des viel größere Markanteils einfach unter viel größerer Beobachtung.
Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.
Objektiv betrachtet lief bei AMD treiberseitig z.B. die letzten Jahre immer mal wieder was ordentlich schief daher kann die Qualitätskontrolle noch nicht einwandfrei sein. Wer weis welche Fehler sich da noch so im Hintergrund tummeln.
Zum Vergrößern anklicken....
Da AMD und Intel bei all diesen Lücken gleichermaßen getestet wurden laut den jeweiligen Findern, ist Dein Vermutung schon falsch. AMD hing auch hinterher in Sachen Leistung. Das war kein Problem wegen Qualität, sie waren einfach langsamer .
 
Intel - das neue Cisco :freak: - oder doch schweizer Käse? Na, das wär' ne Beleidigung für die Eidgenossen :evillol:
Intel ist nur noch eine Lachnummer...

.) Lieferprobleme
.) 14nm die 12te (++++++++++++)
.) Mondpreise
.) Sicherheitslecks an allen Ecken und Enden

Was geht da ab bei denen?
Scheinbar interessiert man sich dort wohl nicht mehr für den ConsumerMarkt...
 
Zuletzt bearbeitet:
"Erneut gibt es von den Forschern Kritik an Intel, während sich der Konzern einmal mehr vornehmlich selbst lobt, Updates für die Probleme aber erst für die nahe Zukunft in Aussicht stellt. Die Forscher werfen Intel vor, immer erst darauf zu warten, bis jemand ein Konzept erarbeitet hat, dass die Lücke ein Problem sein könnte und dann erst reagiert."

Das muss ich erst mal sacken lassen.
Für mich ist das schlichtweg die Höchstform an Ignoranz und Hochmut (inkl. Kundenverarsche).
Hauptsache den längsten Balken (für den "dummen" Pöbel).
Da fehlen einem echt die Worte … :-(

MfG, Föhn.
 
  • Gefällt mir
Reaktionen: GERmaximus, eXe777, TechFA und 4 andere
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Grohli
CPU-Sicherheitslücken im Jahr 2019
Antworten
14
Aufrufe
1.089
MK one
MK one
Volker
News CPU-Sicherheitslücken: Mehrere neue Spectre-Varianten, Meltdown trifft AMD
6 7 8
Antworten
159
Aufrufe
27.760
I'm unknown
I
Jan
News Spectre V4 & (Meltdown) V3a: Details und Patches zu neuen CPU-Sicherheitslücken
7 8 9
Antworten
165
Aufrufe
32.490
Baalthorun
Baalthorun
Jan
Bericht Die Themen des Jahres: CPU-Sicherheitslücken, AMD Ryzen 2000 und Nvidia Turing
2 3 4
Antworten
72
Aufrufe
11.672
sedot
sedot

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz